🔴 پارت اول هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint با نام ToolShell در حال بهرهبرداری فعال است
📅 تاریخ شناسایی: 18 ژوئیه 2025
🧠 کشف توسط:
شرکت امنیتی هلندی Eye Security
در یک حمله پیچیده و هماهنگ، مهاجمان با استفاده از یک زنجیره آسیبپذیری جدید به نام ToolShell موفق شدهاند کنترل کامل از راه دور (RCE) را بدون نیاز به احراز هویت روی سرورهای آسیبپذیر SharePoint به دست آورند.
⚠️ این باگ با CVE-2025-53770 شناخته میشود و از ترکیب دو نقص حیاتی (CVE-2025-49706 + CVE-2025-49704) سوءاستفاده میکند.
🧬 ویژگی منحصربهفرد این اکسپلویت:
مهاجم با دور زدن کامل مکانیزمهای احراز هویت، به کلیدهای رمزنگاری داخلی
(ValidationKey / DecryptionKey)
دسترسی یافته و با جعل کامل ورودیهای امن، قادر به اجرای بارهای مخرب بهصورت قانونی از دید SharePoint میشود.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
📅 تاریخ شناسایی: 18 ژوئیه 2025
🧠 کشف توسط:
شرکت امنیتی هلندی Eye Security
در یک حمله پیچیده و هماهنگ، مهاجمان با استفاده از یک زنجیره آسیبپذیری جدید به نام ToolShell موفق شدهاند کنترل کامل از راه دور (RCE) را بدون نیاز به احراز هویت روی سرورهای آسیبپذیر SharePoint به دست آورند.
⚠️ این باگ با CVE-2025-53770 شناخته میشود و از ترکیب دو نقص حیاتی (CVE-2025-49706 + CVE-2025-49704) سوءاستفاده میکند.
🧬 ویژگی منحصربهفرد این اکسپلویت:
مهاجم با دور زدن کامل مکانیزمهای احراز هویت، به کلیدهای رمزنگاری داخلی
(ValidationKey / DecryptionKey)
دسترسی یافته و با جعل کامل ورودیهای امن، قادر به اجرای بارهای مخرب بهصورت قانونی از دید SharePoint میشود.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
❤1
🔴 پارت دوم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
📌 حمله از طریق endpoint آسیبپذیر زیر انجام میشود:
/_layouts/15/ToolPane.aspx
👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگترین بهرهبرداری عملیاتیشده SharePoint از زمان CVE-2021-28474 دانسته است.
✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمیکند.
مایکروسافت بهطور رسمی CVE-2025-53770 را بهعنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیبپذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانیهای حیاتی برای SharePoint Server 2016، 2019 و نسخه Subscription ارائه داده است.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
📌 حمله از طریق endpoint آسیبپذیر زیر انجام میشود:
/_layouts/15/ToolPane.aspx
👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگترین بهرهبرداری عملیاتیشده SharePoint از زمان CVE-2021-28474 دانسته است.
✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمیکند.
مایکروسافت بهطور رسمی CVE-2025-53770 را بهعنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیبپذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانیهای حیاتی برای SharePoint Server 2016، 2019 و نسخه Subscription ارائه داده است.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
پارت سوم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
تحلیل فنی و آماری آسیبپذیری ToolShell در SharePoint
🛡 نسخههای آسیبپذیر عبارتند از:
* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subscription Edition پیش از: 16.0.18526.20424
‼️ مایکروسافت تأکید کرده است: هیچ راهحل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.
📊 شاخصهای نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:
🧩 آدرسهای IP مخرب:
▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)
🧩عامل کاربری (User-Agent) مشکوک:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگهای IIS معمولاً به صورت URL-Encoded ظاهر میشود)
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
تحلیل فنی و آماری آسیبپذیری ToolShell در SharePoint
🛡 نسخههای آسیبپذیر عبارتند از:
* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subscription Edition پیش از: 16.0.18526.20424
‼️ مایکروسافت تأکید کرده است: هیچ راهحل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.
📊 شاخصهای نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:
🧩 آدرسهای IP مخرب:
▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)
🧩عامل کاربری (User-Agent) مشکوک:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگهای IIS معمولاً به صورت URL-Encoded ظاهر میشود)
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
پارت چهارم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
🧩 مسیرهای سوءاستفادهشده در SharePoint
▪️ POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
▪️ GET /_layouts/15/<undisclosed>.aspx
(جهت استخراج کلیدهای رمزنگاری حساس)
🧩 هشهای فایل مخرب (SHA256):
▪️ 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
▪️ b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
▪️ fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
⚠️ توصیه مهم برای سازمانها:
* اسکن آسیبپذیری بهتنهایی کافی نیست.
* این نوع حملات با دسترسی مداوم همراه است که میتواند از وصله، ریست سیستم و ابزارهای معمول امنیتی فرار کند.
* انجام بررسی جامع نفوذ (Full Forensic Analysis) و بررسی کلیدها، پیکربندیها و Session Tokenهای فعال ضروری است.
🧪 ابزار پیشنهادی برای بررسی و شبیهسازی حمله در محیط امن:
🎯ابزار ANY.RUN Sandbox که برای تحلیل تعاملی و بلادرنگ بدافزار و رفتار شبکه.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #SharePoint #RCE #CyberSecurity #Exploit #Microsoft
🧩 مسیرهای سوءاستفادهشده در SharePoint
▪️ POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
▪️ GET /_layouts/15/<undisclosed>.aspx
(جهت استخراج کلیدهای رمزنگاری حساس)
🧩 هشهای فایل مخرب (SHA256):
▪️ 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
▪️ b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
▪️ fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
⚠️ توصیه مهم برای سازمانها:
* اسکن آسیبپذیری بهتنهایی کافی نیست.
* این نوع حملات با دسترسی مداوم همراه است که میتواند از وصله، ریست سیستم و ابزارهای معمول امنیتی فرار کند.
* انجام بررسی جامع نفوذ (Full Forensic Analysis) و بررسی کلیدها، پیکربندیها و Session Tokenهای فعال ضروری است.
🧪 ابزار پیشنهادی برای بررسی و شبیهسازی حمله در محیط امن:
🎯ابزار ANY.RUN Sandbox که برای تحلیل تعاملی و بلادرنگ بدافزار و رفتار شبکه.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #SharePoint #RCE #CyberSecurity #Exploit #Microsoft
❤2