أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، في 22 يوليو 2025، توجيهات عاجلة تلزم الجهات الفيدرالية المدنية بتنفيذ تصحيحات فورية لثغرتين خطيرتين في منصة Microsoft SharePoint، هما: CVE-2025-49704 وCVE-2025-49706، وذلك بعد توفر أدلة تؤكد استغلالهما في هجمات نشطة.
وقالت الوكالة في تنبيه محدث: “تم رصد استغلال نشط لسلسلة من الثغرات تضم ثغرة انتحال هوية وتنفيذ تعليمات عن بُعد، ما يسمح بالوصول غير المصرح به إلى خوادم SharePoint المحلية”.
ويأتي إدراج الثغرتين ضمن “دليل الثغرات المستغلة المعروفة” (KEV) عقب إعلان مايكروسوفت أن مجموعات قرصنة صينية مثل Linen Typhoon وViolet Typhoon استخدمتا تلك الثغرات لاختراق الخوادم منذ 7 يوليو 2025.
تفاصيل الثغرات الأمنية
- CVE-2025-49704: ثغرة تنفيذ تعليمات عن بُعد في SharePoint
- CVE-2025-49706: ثغرة تنفيذ تعليمات عن بُعد بعد المصادقة
- CVE-2025-53770: ثغرة تجاوز المصادقة وتنفيذ تعليمات عن بُعد (ToolShell)
- CVE-2025-53771: ثغرة تجاوز المسار (Path Traversal)
وقد أشارت مجموعة Akamai إلى أن السبب الجذري لثغرة CVE-2025-53770 هو الدمج بين ثغرتين: تجاوز المصادقة (CVE-2025-49706) وعدم أمان في تفكيك الكائنات البرمجية (CVE-2025-49704).
وتُظهر سلاسل الهجوم استخدام الثغرات في زرع Web Shell على الخوادم المخترقة، ما يمكّن المهاجمين من استخراج مفاتيح التشفير (MachineKey). وأكدت شركة Symantec أنه تم رصد نشاط لاحق يشمل تشغيل أمر PowerShell مشفّر لتنزيل ملف باسم “client.exe” من خادم خارجي، يُعاد تسميته إلى “debug.js” لتجنب الشبهات، ثم يُستخدم لتشغيل سكربت يقوم بجمع معلومات النظام والبيانات السرية.
وفي الوقت الذي تواصل فيه مايكروسوفت تأكيد صحة معلوماتها حتى تاريخ النشر الأصلي، حذرت منظمات أمنية من الاعتماد على وسائل حماية سطحية.
تحايل على أدوات الحماية وتوصيات صارمة بالتحديث
أشارت شركة watchTowr إلى تطويرها أسلوباً خاصاً لاستغلال ثغرة CVE-2025-53770 بطريقة تتجاوز ميزة Antimalware Scan Interface (AMSI)، وهي إحدى أدوات الحماية الموصى بها من قبل مايكروسوفت.
وحذر الرئيس التنفيذي للشركة، بنيامين هاريس، قائلاً: “البعض يظن أن تفعيل AMSI كافٍ، لكن هذا خطأ جسيم. الثغرة تم ربطها بجهات تهديد تابعة لدول، ولا يمكن توقّع أن تعجز عن تجاوز AMSI”.
وشدد على أن كل أدوات الاختبار المتاحة علنياً تُفعّل AMSI وتوهم المؤسسات بأنها لم تعد معرضة للخطر، ما قد يؤدي إلى إغفال الحاجة إلى تثبيت التحديثات الأمنية الضرورية.
