آیا MAPP در ماجرای SharePoint نقش دارد

همزمان با افشای آسیب‌پذیری‌های بحرانی در SharePoint و آغاز حملاتی که صدها سازمان را قربانی کرد، شواهدی از نشت اطلاعات در برنامه امنیتی MAPP مایکروسافت توجه‌ها را به خود جلب کرده است؛ مسیری که می‌تواند راه را برای دور زدن وصله‌ها هموار کرده باشد. اما آیا واقعا MAPP مقصر است؟

به گزارش افتانا، یک هفته پس از آن‌که مایکروسافت اعلام کرد به‌روزرسانی‌های نرم‌افزاری ماه جولای نتوانسته‌اند به‌طور کامل برخی آسیب‌پذیری‌ها را در سرورهای SharePoint برطرف کنند، محققان امنیتی زوایای بیشتری از این پازل را کنار هم قرار داده‌اند؛ با یک قطعه گمشده مهم: نقش نشت اطلاعات در سوءاستفاده از این آسیب‌پذیری‌ها.

این‌که چگونه مهاجمان، از جمله هکرهای چینی، سارقان داده و مجرمان باج‌افزاری، توانسته‌اند آسیب‌پذیری‌های SharePoint را به‌گونه‌ای بهره‌برداری کنند که به راحتی وصله امنیتی مایکروسافت را دور بزنند، هنوز مشخص نیست.

آغاز ماجرا از مسابقه Pwn2Own
داستین چایلدز، از مدیران امنیت سایبری در شرکت Trend Micro، گفته است: اینجا جایی نشت اطلاعات رخ داده. حالا ما با یک اکسپلویت روز-صفر مواجه‌ایم که نه‌تنها افشا شده، بلکه وصله ارائه‌شده را هم به‌راحتی دور می‌زند.

ماجرا از مسابقه مشهور Pwn2Own در ماه می شروع شد. جایی که هکرها با بهره‌برداری از آسیب‌پذیری‌های روز-صفر جوایز بزرگ دریافت می‌کنند. در روز دوم این رقابت در برلین، دینه هو آن‌کوا، پژوهشگر ویتنامی، با ترکیب دو آسیب‌پذیری (دور زدن احراز هویت و عدم ایمنی در سریال‌سازی داده‌ها)، توانست Microsoft SharePoint را هدف قرار دهد و جایزه ۱۰۰ هزار دلاری را به‌دست آورد.

چایلدز توضیح داد: آنچه روی صحنه دیده می‌شود فقط بخشی از مسابقه است. پس از نمایش موفق اکسپلویت، پژوهشگر به همراه نماینده شرکت سازنده (در اینجا مایکروسافت) به یک اتاق خصوصی منتقل می‌شود و جزئیات کامل فنی آسیب‌پذیری را ارائه می‌دهد.

بر اساس قوانین، شرکت سازنده، ۹۰ روز فرصت دارد تا پیش از افشای عمومی آسیب‌پذیری برای آن وصله امنیتی منتشر کند. به گفته چایلدز، مایکروسافت همان روز ۱۵ می یک گزارش کامل فنی از اکسپلویت دریافت کرد.

نشت پیش از انتشار رسمی
مایکروسافت در ۸ ژوئیه دو آسیب‌پذیری با کدهای CVE-2025-49704 (اجرای کد از راه دور بدون نیاز به احراز هویت) و CVE-2025-49706 (آسیب‌پذیری جعل هویت) را اعلام کرد و وصله‌هایی برای آن‌ها منتشر کرد. اما حملات به شکل گسترده از یک روز قبل، یعنی در ۷ ژوئیه، شروع شده بودند.

چایلدز گفت: ۶۰ روز زمان برای وصله یک باگ، اگر محرمانه بماند، منطقی است. آنچه غیرقابل قبول است، نشت اطلاعات است که قبل از انتشار وصله اتفاق افتاده‌‌است.

نقش برنامه MAPP در نشت احتمالی
یکی از فرضیه‌ها این است که نشت از طریق برنامه Microsoft Active Protections Program (MAPP) رخ داده باشد. این برنامه به برخی شرکت‌های امنیتی منتخب اجازه می‌دهد تا دو هفته پیش از Patch Tuesday، به اطلاعات آسیب‌پذیری‌ها دسترسی داشته باشند تا بتوانند سامانه‌های محافظتی خود را به‌موقع به‌روزرسانی کنند. البته شرکت‌ها موظف به امضای توافق‌نامه عدم افشا (NDA) هستند.

بر اساس گفته‌های چایلدز، اولین انتشار اطلاعات از طریق MAPP، در ۲۴ ژوئن یعنی ۱۴ روز پیش از Patch Tuesday انجام شد. اما حملات در ۷ ژوئیه آغاز شدند و در۸ ژوئیه وصله‌هایی منتشر شدند که بلافاصله مشخص شد ناکارآمد هستند. بررسی ZDI نشان داد که مایکروسافت بخش احراز هویت را به‌درستی پوشش نداده بود و مهاجمان می‌توانستند به راحتی وصله را دور بزنند. هر فردی که به اطلاعات MAPP دسترسی داشت، احتمالاً به این ضعف پی می‌برد.

گسترش حملات، باج‌افزار و جاسوسی
در ۱۸ ژوئیه شرکت امنیتی Eye Security نسبت به سوءاستفاده گسترده از این زنجیره آسیب‌پذیری‌ها هشدار داد. یک روز بعد، مایکروسافت هشدار رسمی صادر کرد مبنی بر اینکه برخی نسخه‌هایSharePoint حاوی یک باگ روز-صفر فعال هستند و وصله‌های قبلی ناکافی بوده‌اند.

تا ۲۱ ژوئیه، به‌روزرسانی‌هایی برای هر سه نسخه SharePoint منتشر شد. اما تا آن زمان، بیش از ۴۰۰ سازمان قربانی شده بودند؛ از جمله توسط دو گروه جاسوسی منتسب به دولت چین به نام‌های Linen Typhoon و Violet Typhoon و همچنین یک گروه دیگر با نام Storm-2603 که از این نقص برای استقرار باج‌افزار استفاده می‌کرد.

مایکروسافت در بیانیه‌ای ایمیلی گفت: مطابق فرایندهای استاندارد، ما این رویداد را بررسی می‌کنیم، نقاط ضعف را شناسایی کرده و اقدامات اصلاحی را به‌طور گسترده اعمال خواهیم کرد.

نقش هوش مصنوعی در بازتولید اکسپلویت
برخی پژوهشگران می‌گویند که ممکن است نشت اطلاعات تنها مسیر مهاجمان نبوده باشد. ساتنام نارنگ، مهندس ارشد تیم عملیات ویژه شرکت Tenable Research، اشاره کرد که پژوهشگری به نام سروش دلیلی موفق شده بود با استفاده از هوش مصنوعی گوگل (Gemini)، زنجیره اکسپلویت را بازسازی کند. بنابراین، امکان دارد مهاجمان هم از مدل‌های زبانی پیشرفته مانند Gemini گوگل،Claude Opus یا OpenAI o3 برای کشف راهکارهای مشابه بهره برده باشند و تشخیص این‌که دقیقاً کدام عامل باعث فعال‌سازی حملات شد، دشوار است.

قطع همکاری مایکروسافت با MAPP؟!
چایلدز در این خصوص که مایکروسافت هیچ اطلاعیه‌ای از طریق MAPP برای دو آسیب‌پذیری جدیدتر با کدهای CVE-2025-53770 و CVE-2025-53771 منتشر نکرده است (آسیب‌پذیری‌هایی که به همان زنجیره مربوط هستند)، گفت: ممکن است مایکروسافت دیگر به MAPP اعتماد نداشته باشد یا شاید آن‌قدر درگیر اصلاح مشکلات است که فرصت اطلاع‌رسانی به شرکای امنیتی را ندارد.

او افزود: اگر من جای مایکروسافت بودم و احتمال می‌دادم که نشت از طریق این برنامه رخ داده، دیگر هیچ اطلاعاتی از این طریق منتشر نمی‌کردم.