Zero-Day धमाका: Microsoft की ये गलती कर सकती है आपके सीक्रेट्स लीक, जानें बचने का तरीका

Microsoft SharePoint Server एक बार फिर गंभीर साइबर हमले की चपेट में आ गया है। जुलाई 2025 में रिपोर्ट हुए इस बड़े “zero-day” ब्रीच ने कथित तौर पर दुनियाभर के 85 से ज्यादा सर्वर को प्रभावित किया है, जिससे कई कंपनियां और सरकारी एजेंसीज अलर्ट मोड पर है। इस समय सबसे ज्यादा खतरा उन ऑर्गेनाइजेशन्स को है जो अपनी डॉक्स और डेटा को ऑन-प्रिमाइसेस (लोकल सर्वर पर चलने वाले) SharePoint Server में सेव करते हैं। क्लाउड-बेस्ड SharePoint Online (Microsoft 365) यूजर्स अभी सेफ हैं, लेकिन ऑन-प्रिमाइसेस सर्वर्स पर बड़ा रिस्क बना हुआ है।

कंपनियों और गवर्नमेंट बॉडीज दोनों के लिए यह हमला दो वजह से बेहद क्रिटिकल है, एक तो इसका शिकार हुए सर्वर बिना किसी यूजर लॉगिन या ऑथेंटिकेशन के एक्सपोज हो सकते हैं और दूसरा, इसमें डेटा चोरी, सर्वर का पूरा कंट्रोल और नेटवर्क में Lateral Movement का खतरा है। नई रिपोर्ट्स के मुताबिक, अटैकर्स इस ब्रेच को “ToolShell” नाम दे चुके हैं, जिसमें सीधा रिमोट कोड एक्सीक्यूशन हो जाता है।

Microsoft के मुताबिक, अटैकर्स SharePoint Server की एक वल्नरेबिलिटी (CVE-2025-53770) का इस्तेमाल कर रहे हैं, जो Microsoft ने जुलाई में ही पैच की थी। लेकिन, इसके बाद भी थ्रेट एक्टर्स ने इसका वेरिएंट तैयार करके सीधे सिस्टम पर बिना यूजर इंटरवेंशन के कोड रन करना शुरू कर दिया। खास बात यह है कि वह सर्वर से क्रिप्टोग्राफिक सीक्रेट्स या मशीन कीज निकाल रहे हैं। ये ऐसे keys होते हैं जिनसे लॉन्ग-टर्म एक्सेस मिल जाता है, यानि अगर सर्वर को बाद में पैच भी कर दिया जाए, तो एक्स-एक्सेस के जरिए अटैकर फिर भी उसमें घुस सकते हैं।

इन अटैक्स में सबसे बड़ी ट्रिक है “spinstall0.aspx” नाम की एक ASPX फाइल, जिसे अटैकर्स सर्वर पर डाल रहे हैं। यह शेल कोई कमांड रन नहीं करता, बल्कि सिर्फ शेयरपॉइंट की मशीन कीज को चोरी करने के लिए ही तैयार किया गया है। अटैकर इन keys का यूज करके भविष्य में भी सर्वर को एक्सप्लॉइट कर सकते हैं, इसलिए सिर्फ नई सिक्योरिटी अपडेट इंस्टॉल करना काफी नहीं है, आपको सीक्रेट्स (keys) भी रोटेट करने पड़ेंगे।

सिक्योरिटी फर्म Eye Security ने खुलासा किया है कि इस नए zero-day की वजह से यूरोप, अमेरिका और कई अन्य देशों की मल्टीनेशनल फर्म्स, प्राइवेट यूनिवर्सिटी, एनर्जी सेक्टर, हेल्थकेयर व गवर्नमेंट एजेंसियां तगड़े असर में आई हैं। Citations लॉग के अनुसार कम से कम 85 से ज्यादा कंपनियों के सर्वर कंपोमाइज हुए हैं, जिसमें डॉक्यूमेंट चोरी और नेटवर्क में फैलाव जैसे बड़े खतरे सामने आए हैं।

Microsoft ने शेयरपॉइंट सर्वर 2019 और सब्सक्रिप्शन एडिशन के लिए इमरजेंसी अपडेट रिलीज किया है, जबकि पुराने 2016 एडिशन के लिए अभी अपडेट जारी होना बाकी है। कंपनी का कहना है कि SharePoint Online (Microsoft 365) पर कोई खतरा नहीं है। इसके अलावा, ऑफलाइन/ऑन-प्रिमाइसेस SharePoint Servers को जल्द से जल्द पैच करने के लिए भी कहा गया है। यदि AMSI (Antimalware Scan Interface) इंटीग्रेशन ऑन नहीं है, तो उसे तुरंत अपडेट करने की भी सलाह है।

वहीं, US की एजेंसी CISA ने सभी फेडरल एजेंसियों को 21 जुलाई तक यह पैच इंस्‍टॉल करने और पूरी जांच करने के निर्देश दिए हैं।
 

इसके फिक्स क्या हैं?

ऑन-प्रिमाइसेस SharePoint Server 2019 और Subscription Edition यूजर्स को Microsoft की साइट से लेटेस्ट सिक्योरिटी अपडेट (KB5002754/KB5002768) तुरंत इंस्टॉल करनी चाहिए। वहीं, 2016 वर्जन के लिए भी अपडेट जल्द आने वाला है। सिर्फ पैच लगाना काफी नहीं है, पुराने मशीन कीज/क्रिप्टोग्राफिक सीक्रेट्स भी बदलने होंगे वरना भविष्य में भी एक्सपोजर रह जाएगा।

अगर आपको सर्वर में “spinstall0.aspx” फाइल या unusual web shell, suspicious referers जैसी किसी भी एक्टिविटी के संकेत मिलें तो सर्वर को तुरंत ऑफलाइन करें और इंसीडेंट रिस्पांस एक्सपर्ट्स की मदद लें।