Bahram Ghorbani | بهرام قربانی

بهرام قربانی

×

سر خط خبرها از دنیای فناوری اطلاعات تا هوش مصنوعی:

هوش مصنوعی پزشکی و تشخیص سرطان: همکاری انسان و ماشین

سریال Alien: Earth: بازگشت وحشت به زمین و میراث ریدلی

Instagram
امنیت سایبری SharePoint مایکروسافت: اقدامات فوری برای محافظت

امنیت سایبری SharePoint مایکروسافت: اقدامات فوری برای محافظت

با توجه به شدت و گستردگی این حملات، سازمان‌هایی که از سرورهای SharePoint داخلی استفاده می‌کنند، باید فوراً این اقدامات را انجام دهند

بهرام قربانی

فناوی و اطلاعات
۵مرداد۱۴۰۴
7دقیقه
- اندازه متن +

یک سپر از سرور محافظت می‌کند، با خطوط کد و داده که اطراف آن جریان دارند و نشان‌دهنده دفاع قوی امنیت سایبری، SharePoint و مایکروسافت هستند.

اقدامات فوری: سازمان‌ها چه باید بکنند؟

با توجه به شدت و گستردگی این حملات، سازمان‌هایی که از سرورهای SharePoint داخلی استفاده می‌کنند، باید فوراً اقدامات زیر را انجام دهند:

وصله‌های امنیتی را فوراً اعمال کنید

مایکروسافت وصله‌های امنیتی اضطراری را برای نسخه‌های پشتیبانی‌شده SharePoint Server (Subscription Edition, 2019, و 2016) منتشر کرده است. این وصله‌ها شامل محافظت‌های جامع در برابر آسیب‌پذیری‌های CVE-2025-53770 و CVE-2025-53771 هستند. شما باید این وصله‌ها را بلافاصله و بدون تأخیر در چرخه وصله منظم خود اعمال کنید. نادیده گرفتن این مورد می‌تواند به نفوذ گسترده در سیستم شما منجر شود.

برای دانلود وصله‌ها، می‌توانید به وبلاگ مرکز پاسخگویی امنیتی مایکروسافت (MSRC) مراجعه کنید.

چرخش کلیدهای ASP.NET Machine Key

همانطور که قبلاً اشاره شد، مهاجمان در این حملات به دنبال سرقت Machine Keyهای ASP.NET هستند. حتی پس از اعمال وصله‌ها، اگر این کلیدها به خطر افتاده باشند، مهاجمان می‌توانند مجدداً به سیستم دسترسی پیدا کنند. بنابراین، چرخش این کلیدها حیاتی است. این کار را می‌توانید به صورت دستی از طریق PowerShell (با استفاده از cmdlet Set-SPMachineKey) یا از طریق Central Administration با اجرای “Machine Key Rotation Job” انجام دهید.

راه‌اندازی مجدد IIS

پس از اعمال وصله‌ها و چرخش کلیدها، حتماً IIS (Internet Information Services) را در تمام سرورهای SharePoint خود راه‌اندازی مجدد کنید. این مرحله اطمینان می‌دهد که تغییرات امنیتی به درستی اعمال شده‌اند و وب‌شل‌های احتمالی غیرفعال شده‌اند.

پیاده‌سازی AMSI و EDR

برای افزایش لایه‌های دفاعی، توصیه می‌شود که Antimalware Scan Interface (AMSI) را در SharePoint پیکربندی و فعال کنید و Microsoft Defender Antivirus یا یک راهکار EDR (Endpoint Detection and Response) معادل را در تمام سرورهای SharePoint خود مستقر کنید. AMSI به جلوگیری از حملات بدون احراز هویت کمک می‌کند، در حالی که EDR فعالیت‌های پس از بهره‌برداری را شناسایی و مسدود می‌کند. این اقدامات برای تقویت امنیت سایبری، SharePoint، مایکروسافت ضروری هستند.

برنامه پاسخ به حادثه

سازمان‌ها باید برنامه پاسخ به حادثه (Incident Response Plan) خود را فعال کرده و برای هرگونه نفوذ احتمالی آماده باشند. این شامل بررسی دقیق گزارش‌ها، شناسایی نشانه‌های نفوذ (IoCs) و انجام اقدامات لازم برای ریشه‌کن کردن تهدید و بازیابی سیستم‌ها است. اگر شک دارید که سیستم شما به خطر افتاده است، فوراً با تیم پاسخ به حوادث سایبری حرفه‌ای تماس بگیرید.

پایان دوران دایل‌آپ: وداع با AOL و میراث اینترنت

شناسایی سازش و نفوذ

حتی پس از اعمال وصله‌ها، بسیار مهم است که سیستم‌های خود را برای نشانه‌های نفوذ بررسی کنید. مهاجمان ممکن است قبل از وصله شدن سیستم، بک‌دورهایی را نصب کرده باشند. برخی از نشانه‌های نفوذ که باید به دنبال آن‌ها باشید عبارتند از:

  • فایل‌های غیرعادی: به دنبال فایل‌های مشکوک با پسوند .aspx در دایرکتوری‌های حساس SharePoint (مانند C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions16TEMPLATELAYOUTS) باشید. فایل‌هایی مانند spinstall0.aspx یا debug_dev.js نشانه‌های کلیدی هستند.
  • اتصالات شبکه مشکوک: ترافیک شبکه به/از آدرس‌های IP مهاجمان شناخته‌شده را بررسی کنید. مایکروسافت و Palo Alto Networks لیستی از این IPها را منتشر کرده‌اند.
  • فعالیت‌های فرآیندی غیرعادی: به دنبال فرآیندهای غیرمعمول که توسط w3wp.exe (فرآیند اصلی IIS برای SharePoint) آغاز شده‌اند، به خصوص آنهایی که شامل PowerShell یا cmd.exe با دستورات کدگذاری شده Base64 هستند، باشید.
  • تغییرات در رجیستری: بررسی تغییرات غیرمجاز در رجیستری که ممکن است برای غیرفعال کردن محافظت‌های امنیتی انجام شده باشند.

استفاده از راهکارهای پیشرفته SIEM (Security Information and Event Management) و SOAR (Security Orchestration, Automation, and Response) می‌تواند به شناسایی سریع‌تر این نشانه‌ها کمک کند. این اقدامات برای حفظ امنیت سایبری SharePoint مایکروسافت بسیار حائز اهمیت است.

چشم‌انداز گسترده‌تر امنیت سایبری، SharePoint و مایکروسافت

این رویداد اخیر در SharePoint بار دیگر بر اهمیت رویکردی جامع در امنیت سایبری، SharePoint، مایکروسافت تأکید می‌کند. حملات پیچیده‌تر می‌شوند و مهاجمان به طور فزاینده‌ای از زنجیره‌های بهره‌برداری (exploit chains) استفاده می‌کنند که چندین آسیب‌پذیری را با هم ترکیب می‌کنند. این امر به این معنی است که صرفاً وصله کردن یک آسیب‌پذیری خاص ممکن است کافی نباشد؛ سازمان‌ها باید به دنبال یک استراتژی دفاعی عمیق‌تر باشند.

همچنین، این حادثه نشان می‌دهد که تهدیدات سایبری مرز نمی‌شناسند. گروه‌های دولتی و جنایتکاران سایبری به طور مداوم به دنبال نقاط ضعف در سیستم‌های پرکاربرد هستند. بنابراین، اشتراک‌گذاری اطلاعات تهدید (Threat Intelligence) بین سازمان‌ها و نهادهای امنیتی مانند CISA و مایکروسافت، نقش بسیار مهمی در مقابله با این تهدیدات ایفا می‌کند. همکاری و اطلاع‌رسانی به موقع می‌تواند به سایر سازمان‌ها کمک کند تا قبل از اینکه قربانی شوند، اقدامات پیشگیرانه را انجام دهند.

نتیجه‌گیری: رویکردی جامع برای امنیت سایبری SharePoint مایکروسافت

آسیب‌پذیری‌های اخیر در مایکروسافت SharePoint، زنگ خطری جدی برای سازمان‌هایی است که به این پلتفرم متکی هستند. در حالی که مایکروسافت به سرعت وصله‌های امنیتی را منتشر کرده است، مسئولیت نهایی حفاظت از داده‌ها بر عهده هر سازمان است. با اعمال فوری وصله‌ها، چرخش کلیدهای حیاتی، پیاده‌سازی راهکارهای پیشرفته امنیتی و حفظ هوشیاری در برابر نشانه‌های نفوذ، می‌توانید به طور قابل توجهی خطر ناشی از این تهدیدات را کاهش دهید.

به یاد داشته باشید که امنیت سایبری، SharePoint، مایکروسافت یک فرآیند مداوم است، نه یک مقصد. با تکامل تهدیدات، استراتژی‌های دفاعی ما نیز باید تکامل یابند. سرمایه‌گذاری در آموزش کارکنان، ابزارهای امنیتی پیشرفته، و همکاری با متخصصان امنیت سایبری، از جمله گام‌های ضروری برای تضمین یک محیط دیجیتال امن در سال 2025 و فراتر از آن است.

سوالات متداول (FAQ)

آیا SharePoint Online (مایکروسافت 365) نیز تحت تأثیر آسیب‌پذیری‌های ToolShell قرار دارد؟

خیر، مایکروسافت تأیید کرده است که این آسیب‌پذیری‌ها تنها بر روی سرورهای SharePoint داخلی (on-premises) تأثیر می‌گذارند و SharePoint Online در مایکروسافت 365 تحت تأثیر قرار نگرفته است.

چرا چرخش Machine Keyهای ASP.NET پس از اعمال وصله مهم است؟

حمله‌کنندگان ممکن است قبل از اعمال وصله، Machine Keyهای ASP.NET را سرقت کرده باشند. این کلیدها برای رمزنگاری و احراز هویت در SharePoint استفاده می‌شوند. اگر این کلیدها به خطر افتاده باشند، مهاجمان می‌توانند توکن‌های احراز هویت جعلی ایجاد کرده و حتی پس از وصله شدن سیستم، مجدداً به آن دسترسی پیدا کنند. بنابراین، چرخش کلیدها ضروری است تا دسترسی‌های قبلی آن‌ها باطل شود.

چگونه می‌توانم مطمئن شوم که سیستم من پس از اعمال وصله‌ها کاملاً امن است؟

اعمال وصله‌ها تنها اولین گام است. شما باید سیستم خود را برای نشانه‌های نفوذ بررسی کنید، از جمله فایل‌های غیرعادی، اتصالات شبکه مشکوک، و فعالیت‌های فرآیندی غیرعادی. پیاده‌سازی راهکارهای EDR و SIEM می‌تواند به شناسایی فعالیت‌های پس از بهره‌برداری کمک کند. همچنین، توصیه می‌شود یک ارزیابی امنیتی جامع توسط متخصصان امنیت سایبری، SharePoint، مایکروسافت انجام دهید.

اگر نتوانم فوراً وصله‌ها را اعمال کنم، چه کاری باید انجام دهم؟

اگر به هر دلیلی قادر به اعمال فوری وصله‌ها نیستید، توصیه می‌شود دسترسی عمومی به سرورهای SharePoint داخلی خود را قطع کنید. استفاده از VPN یا پروکسی که نیاز به احراز هویت دارد، می‌تواند به محدود کردن ترافیک بدون احراز هویت کمک کند. همچنین، فعال‌سازی AMSI و استقرار آنتی‌ویروس قوی می‌تواند لایه‌های دفاعی اضافی ایجاد کند.

لینک کوتاه : https://bgho.ir/y1s کپی کنید
درباره نویسنده

بهرام قربانی

من بهرام قربانی هستم، بلاگر فعال در زمینه هوش مصنوعی. در این وبلاگ تجربیاتم از دنیای تکنولوژی، ابزارهای نوین هوش مصنوعی، نکات کاربردی فروش و بازاریابی، و روش‌های یادگیری مؤثر رو با شما به اشتراک می‌ذارم. هدفم اینه که مفاهیم پیچیده رو ساده و کاربردی ارائه بدم تا هر کسی—چه علاقه‌مند به یادگیری AI باشه، چه دنبال بهبود عملکرد فروش—بتونه از مطالب اینجا بهره‌مند بشه.

پست قبلی

پست بعدی

ارسال دیدگاه
0 دیدگاه

نظر شما در مورد این مطلب چیه؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *