مايكروسوفت تطلق تحديثات طارئة لسد ثغرة SharePoint

أصدرت شركة مايكروسوفت تحديثات اليوم لسد ثغرة حرجة من نوع zero-day في خادم Microsoft SharePoint، والتي تعرضت لهجمات متكررة تستهدف الوكالات الفيدرالية والولائية في الولايات المتحدة بالإضافة إلى منظمات عالمية أخرى.

تشمل سلسلة الهجمات استغلال الثغرة الحرجة، التي تم تتبعها تحت الرقم CVE-2025-53770 والتي حصلت على درجة 9.8 في نظام تقييم الثغرات CVSS، بالإضافة إلى ثغرة في مسار التصفح تم تتبعها تحت الرقم CVE-2025-53771. وتوجد الثغرة CVE-2025-53770 بسبب "تحليل بيانات غير موثوقة في خادم Microsoft SharePoint المحلي"، وفقًا لما ورد في قاعدة بيانات الثغرات الوطنية. وهذا "يسمح لمهاجم غير مصرح له بتنفيذ كود عبر الشبكة"، وفقًا للتصنيف.

لاستغلال الثغرة، "يقوم المهاجمون بإنشاء بيانات مسلسلة خبيثة يتم تحليلها بشكل غير صحيح من قبل الخادم، مما يؤدي إلى تنفيذ كود عن بُعد دون مصادقة"، وفقًا لما ذكره منشور في مدونة فريق Ontinue Advanced Threat Operations (ATO)، الذي نُشر اليوم. "لا يتطلب الأمر أي وصول مسبق أو تفاعل من المستخدم".

تسمح سلسلة الاستغلال، المعروفة باسم "ToolShell"، بالتحكم الكامل في خادم Microsoft SharePoint الذي يعمل محليًا داخل المنظمة. ومع ذلك، فإن الهجوم لا ينطبق على نسخة Microsoft 365 من SharePoint Online.

استغلال عالمي كبير لـ CVE-2025-53770

مرتبط:أدوات الاحتيال العميق تتخلف عن التوقعات

ظهرت تقارير حول استغلال واسع النطاق لـ CVE-2025-53770، الذي لم يكن لديه تصحيح في وقت الكشف عنه من قبل مايكروسوفت في 19 يوليو، خلال عطلة نهاية الأسبوع. وقد أفادت واشنطن بوست في 20 يوليو أن المهاجمين استغلوا الثغرة بالفعل "لاختراق الوكالات الفيدرالية والولائية في الولايات المتحدة، والجامعات، وشركات الطاقة، وشركة اتصالات آسيوية"، مستشهدةً بمسؤولين حكوميين وباحثين خاصين. كما أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إنذارًا، مضيفةً CVE-2025-53770 إلى دليل الثغرات المعروفة المستغلة أمس، ونصحت المنظمات باتخاذ خطوات فورية للتخفيف من المخاطر.

منذ ذلك الحين، أصدرت مايكروسوفت "تحديثات أمنية تحمي العملاء الذين يستخدمون SharePoint Subscription Edition وSharePoint 2019 بالكامل ضد المخاطر التي تشكلها CVE-2025-53770 وCVE-2025-53771"، وفقًا لما ورد في إشعار الأمان الخاص بها. تشمل التحديثات، التي تتضمن تصحيحات لـ SharePoint Subscription Edition وSharePoint 2019، أيضًا توفير حماية أكثر قوة ضد CVE-2025-49704 وCVE-2025-49706.

"يجب على العملاء تطبيق هذه التحديثات على الفور لضمان حمايتهم"، قالت الشركة، مضيفةً أنها تعمل على تحديثات أمنية للإصدارات المدعومة من SharePoint 2019 وSharePoint 2016، ونصحت هؤلاء العملاء بمتابعة المعلومات بانتظام.

مرتبط:Advisor360 تتعامل مع الذكاء الاصطناعي الخفي عبر الأتمتة

على الرغم من عدم وجود معلومات مؤكدة حول من يقف وراء الهجمات، تشير معلومات التهديد إلى أن مجموعات مثل Silk Typhoon الصينية أو Storm-0506 (المعروفة أيضًا باسم Black Basta) قد تكون متورطة، وفقًا لمنشور Ontinue ATO.

خوادم SharePoint في خطر

يبدو أن المشكلة المتعلقة بالثغرة نشأت من منشور عادي على منصة التواصل الاجتماعي X من قبل منظمة الأمان الهجومية الألمانية Code White Gmbh، التي عرضت سلسلة استغلال RCE غير مصادق عليها لـ SharePoint والتي دمجت ثغرتين تم الكشف عنهما في مؤتمر Pwn2Own في برلين في مايو. الثغرتان — ثغرة في حقن الكود تم تتبعها تحت الرقم CVE-2025-49704 وثغرة في المصادقة تم تتبعها تحت الرقم CVE-2025-49706 — تم اكتشافهما من قبل الباحث Dinh Ho Anh Khoa من Viettel Cyber Security.

وفقًا لـ CISA وMicrosoft، فإن CVE-2025-53770 هو متغير من CVE-2025-49706.

ظهرت أولى علامات الهجوم في مساء يوم الجمعة، 18 يوليو، عندما لاحظ الباحثون من Eye Security استغلالًا نشطًا جماعيًا بعد أن قاموا بفحص أكثر من 8000 خادم SharePoint حول العالم، واكتشفوا "العشرات من الأنظمة التي تم اختراقها بنشاط خلال موجتين من الهجمات" تلك الليلة وفي اليوم التالي، كما كتبوا في منشور مدونة نُشر في 19 يوليو.

مرتبط:أمازون تتصدى لـ 1,800 محتال مزعوم من كوريا الشمالية

الهجمات التي لاحظوها تضمنت "شيل ويب كلاسيكي، كود مشوش في مسار مخصص، مصمم للسماح بتنفيذ الأوامر عن بُعد عبر HTTP"، وفقًا لمنشور Eye Security.

في البداية، اعتقد الباحثون أنهم كانوا ينظرون إلى إما هجوم عنيف أو هجوم باستخدام بيانات اعتماد مسروقة على خدمات Active Directory Federation Services (ADFS)، تلاه تحميل مصادق عليه أو محاولة تنفيذ كود عن بُعد باستخدام بيانات اعتماد صالحة. "كان خادم SharePoint المتأثر معرضًا للإنترنت ومربوطًا بـ Azure AD باستخدام ADFS هجين"، كتبوا. "يمكن أن تكون تلك المجموعة، عند تكوينها بشكل خاطئ أو إذا كانت قديمة، مزيجًا خطيرًا".

تحديد هجوم ToolShell

في النهاية، قام الباحثون ببعض التحريات ووجدوا منشور ToolShell X من Code White، الذي كان في ذلك الوقت يعتبر إثباتًا للمفهوم (PoC) بدون كود عام أو تفاصيل استغلال واضحة. وسرعان ما أدركوا أن هذا هو مسار الهجوم — الذي كان مشابهًا لمسار هجوم سابق على ثغرة SharePoint أخرى، CVE-2021-28474 — الذي كانوا يراقبونه.

في مسار الهجوم السابق، "استغل المهاجمون منطق تحليل التحكم من جانب الخادم في صفحات SharePoint لإدخال كائنات غير متوقعة في دورة حياة الصفحة"، وفقًا لـ Eye Security.

كان هذا ممكنًا لأن SharePoint كان يقوم بتحميل وتنفيذ كائنات ASP.NET ViewState باستخدام مفتاح توقيع — وهو، على وجه التحديد، ValidationKey — المخزنة في تكوين الجهاز، وفقًا للباحثين.

"من خلال إنشاء طلب صفحة خبيث مع حمولة مسلسلة، وتوقيعها بشكل صحيح، يمكن للمهاجم أن يتسبب في أن يقوم SharePoint بتحليل كائنات عشوائية وتنفيذ أوامر مضمنة"، وفقًا للمنشور. "ومع ذلك، كانت الاستغلال مقيدة بمتطلبات إنشاء توقيع صالح، والذي بدوره يتطلب الوصول إلى مفتاح التوقيع السري للخادم ValidationKey.

مع سلسلة ToolShell، يبدو أن المهاجمين يستخرجون ValidationKey مباشرة من الذاكرة أو التكوين، كما أوضح الباحثون. "بمجرد تسرب هذه المادة التشفيرية، يمكن للمهاجم إنشاء حمولات __VIEWSTATE صالحة تمامًا وموقعة باستخدام أداة تسمى ysoserial، والتي تسمح للمهاجم بإنشاء رموز SharePoint صالحة خاصة به لتنفيذ الأوامر عن بُعد"، وفقًا للمنشور.

"يمكن أن تتضمن هذه الحمولة أي أوامر خبيثة وتقبلها الخادم كمدخلات موثوقة، مما يكمل سلسلة تنفيذ الأوامر عن بُعد دون الحاجة إلى بيانات اعتماد"، وفقًا لـ Eye Security. "هذا يعكس ضعف التصميم الذي تم استغلاله في عام 2021، ولكن الآن تم تجميعه في سلسلة zero-day الحديثة مع إسقاط تلقائي للشيل، واستمرارية كاملة، وعدم وجود مصادقة".

تدابير إضافية

تُعتبر الهجمات الأخيرة التي تستغل الثغرات من نوع zero-day بمثابة نكسة جديدة لشركة مايكروسوفت، التي تواجه تدقيقًا متزايدًا بعد أن اخترق المهاجمون المدعومون من دول حسابات البريد الإلكتروني للشركة العام الماضي وسرقوا بيانات اعتماد من وكالات حكومية، مما أدى إلى إصدار توجيه طارئ من CISA. كما وجدت التقارير اللاحقة من مجلس مراجعة السلامة السيبرانية الفيدرالي أن الشركة لم تتمكن أيضًا من منع اختراق سابق لبيئة Microsoft Exchange Online، مما أثار موجة جديدة من الانتقادات ضدها.

قال باحثو الأمن إن إمكانية حدوث المزيد من الهجمات على SharePoint يجب ألا تُستهان بها، ونصحوا المؤسسات بتطبيق التدابير اللازمة على الفور لجميع الأنظمة المعرضة للخطر. يُستخدم SharePoint على نطاق واسع من قبل المؤسسات الكبيرة والصغيرة لمشاركة الوثائق التجارية، مما يجعله هدفًا شائعًا للمهاجمين نظرًا للمعلومات الحساسة التي يمكنهم الحصول عليها من خلال الوصول إلى الأنظمة. في الواقع، تشبه ToolShell الاستغلال الواسع النطاق الذي واجه ثغرة أخرى في فك التسلسل، CVE-2024-38094، بعد إصدار إثبات المفهوم في الخريف الماضي.

أفادت مايكروسوفت بأنها لا تزال تعمل على تصحيح لنسخة SharePoint 2016. بالنسبة للمؤسسات التي لا يمكنها تطبيق التصحيحات لـ CVE-2025-53770 وCVE-2025-53771 على الفور أو التي تعمل على SharePoint 2016، توصي الشركة باتخاذ إجراءات سريعة أخرى للتخفيف.

تشمل هذه الإجراءات نشر Defender for Endpoint لاكتشاف الأنشطة بعد الاستغلال، وضمان تكامل AMSI في خادم SharePoint المحلي، وتمكين Microsoft Defender Antivirus على جميع مضيفي SharePoint. بالإضافة إلى ذلك، قالت مايكروسوفت إنه إذا لم يكن من الممكن تمكين AMSI، يجب على المؤسسات فصل الأنظمة المعرضة للخطر عن الإنترنت تمامًا حتى تتمكن من تصحيح أنظمتها بالكامل.