مایکروسافت از حملات فعال به مشتریان SharePoint Server خبر داده است که این آسیب‌پذیری به CVE-2025-53770 اختصاص یافته است.

 همچنین اعلام کرده است که SharePoint Online در Microsoft 365 تحت تأثیر این آسیب پذیری نیست ولی نسخه هایی که مشتریان روی سرور های خود نصب کرده اند این آسیب پذیری را دارد.

در حال حاضر، وصله ای برای این آسیب‌پذیری در دسترس نیست. لذا مشتریان برای در امان ماندن از این حملات می بایست اقدامات زیر را انجام دهند.

چگونه محیط شیرپوینت خود را محافظت کنید
برای محافظت از محیط SharePoint Server داخلی خود، به مشتریان توصیه می‌شود که AMSI را در SharePoint پیکربندی کرده و Defender AV را بر روی تمام سرورهای SharePoint مستقر کنند. این کار مانع از بهره‌برداری مهاجمان غیرمجاز از این آسیب‌پذیری می‌شود.

نحوه پیکربندی AMSI را از اینجا ببینید

اگر نمی‌توانید AMSI را فعال کنید، توصیه می‌شود که سرور خود را از اینترنت قطع کنید تا زمانی که یک بروزرسانی امنیتی در دسترس باشد.

همچنین توصیه می‌شود که Defender for Endpoint را برای شناسایی و مسدود کردن فعالیت‌های پس از بهره‌برداری مستقر کنید.

تشخیص‌ها و محافظت‌های مایکروسافت Defender
Microsoft Defender Antivirus تشخیص و محافظت در برابر مؤلفه‌ها و رفتارهای مرتبط با این تهدید را تحت نام تشخیص زیر ارائه می‌دهد:

• Exploit:Script/SuspSignoutReq.A
• Trojan:Win32/HijackSharePointServer.A

Microsoft Defender for Endpoint
Microsoft Defender for Endpoint به مشتریان هشدارهایی ارائه می‌دهد که ممکن است فعالیت‌های تهدیدآمیز مرتبط با این تهدید را نشان دهد. با این حال، این هشدارها ممکن است توسط فعالیت‌های تهدیدآمیز غیرمرتبط تحریک شوند. عناوین هشدار زیر در پورتال Microsoft Defender Security Center می‌تواند نشان‌دهنده فعالیت تهدید در شبکه شما باشد:

• نصب وب‌شل احتمالی
• بهره‌برداری احتمالی از آسیب‌پذیری‌های سرور SharePoint
• رفتار مشکوک فرآیند کارگر IIS
• بدافزار ‘SuspSignoutReq’ بر روی سرور SharePoint مسدود شد
• بدافزار ‘HijackSharePointServer’ بر روی سرور SharePoint مسدود شد

برای اطلاعات بیشتر می توانید لینک زیر را مشاهده نمایید

https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770