ثغرة في SharePoint تسمح بتنفيذ التعليمات البرمجية عن بعد عبر حسابات موثقة 

Microsoft تكشف نشاط تهديد متوازيا داخل شبكة واحدة يربك الاستجابة ويوسع نطاق التحقيقات الأمنية

ثغرة في SharePoint تسمح بتنفيذ التعليمات البرمجية عن بعد عبر حسابات موثقة 
ثغرة SharePoint المستغلة تؤكد أهمية سد الثغرات بسرعة وربط مؤشرات التهديد عبر البيئات المتداخلة

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية عالية الخطورة تؤثر في نظام Microsoft SharePoint Server إلى كتالوج الثغرات المعروفة المستغلة (KEV)، وذلك في أعقاب رصد أدلة تؤكد استغلالها بشكل نشط في الهجمات.

تحمل هذه الثغرة المعرف (CVE-2026-45659 بتقييم CVSS عند 8.8)، وتتيح إمكانية تنفيذ التعليمات البرمجية عن بعد الناتجة عن إلغاء تسلسل البيانات غير الموثوقة. وكانت شركة Microsoft قد أصدرت التحديثات الأمنية اللازمة لمعالجة هذا الخلل في مايو 2026، لتشمل الإصدارات: SharePoint Server Subscription Edition، وSharePoint Server 2019، بالإضافة إلى SharePoint Enterprise Server 2016.

وأفادت Microsoft بأن استغلال الثغرة متاح لأي مهاجم يمتلك حساباً موثقاً على النظام، دون الحاجة إلى صلاحيات مدير أو امتيازات وصول مرتفعة. ففي سيناريوهات الهجوم الموجهة عبر الشبكة، يستطيع المهاجم الموثق بصلاحيات محدودة، كصلاحية “عضو موقع”، استغلال هذا الخلل لتنفيذ برمجيات عن بعد مباشرة على خادم SharePoint.

ومن جهتها، أكدت وكالة CISA أن الخلل المرتبط بإلغاء تسلسل البيانات غير الموثوقة في Microsoft SharePoint Server يسمح للمهاجمين المصرح لهم بتشغيل كود برمجي عبر الشبكة.

ورغم تصنيف Microsoft المسبق لاحتمالية الاستغلال في إرشاداتها الأمنية ضمن فئة “Exploitation Less Likely” (استغلال أقل احتمالاً)، إلا أن المؤشرات الأخيرة أثبتت العكس، في حين لم تتكشف حتى الآن تفاصيل آليات الاستغلال المتبعة، أو الهوية الحقيقية للجهة المسؤولة، أو الأهداف النهائية الكامنة وراء هذه العمليات.

Microsoft ترصد نشاطاً مزدوجاً داخل الشبكة نفسها

أعلنت شركة Microsoft في أواخر الشهر الماضي أن تحقيقاتها في إحدى حوادث برمجيات الفدية كشفت عن وجود مهاجمين منفصلين يعملان بشكل تزامني داخل الشبكة المستهدفة نفسها. وأظهرت التحريات تعمد الطرفين استخدام تقنيات تضمن لهما الاستمرار في النظام، وتعرقل في الوقت ذاته جهود فرق الاستجابة للحوادث الرقمية.

وقد نُسبت أنشطة المجموعة الأولى إلى Storm-2603، وهي مجموعة تنشط في نشر برمجيات الفدية من نوع Warlock، وتعتمد بشكل متكرر منذ منتصف عام 2025 على استغلال الثغرات الأمنية في خوادم SharePoint المحلية.

وفي هذه الواقعة تحديداً، رجحت Microsoft أن الاختراق الأولي للشبكة تم عبر ثغرة مختلفة تماماً، حيث رُصدت طلبات استدعاء لملفات حساسة مثل win.ini وweb.config، ما يعكس عمليات استطلاع ومحاولات استغلال لثغرات إدراج الملفات المحلية (LFI). وتُشير الأدلة التقنية إلى احتمالية استغلال الثغرة (CVE-2025-11371 بتقييم CVSS عند 9.1) والتي تصيب نظام Gladinet Triofox.

وعقب نجاح المهاجم في الدخول، عمد إلى نشر أدوات متقدمة مثل Velociraptor لدمج أنشطته التخريبية وتمريرها كسلوكيات إدارية طبيعية وموثوقة. كما عمل على تأمين قنوات متعددة للاتصال والتحكم عن بعد، مستخدماً أنفاق Cloudflare، وأداة Zoho Assist، إلى جانب اتصالات بروتوكول SSH المهيأة عبر بيئة Visual Studio Code.

وامتد الهجوم ليشمل تصعيد الامتيازات من خلال إنشاء حسابات جديدة لمدير محلي ومدير نطاق، كما جرى استغلال برنامج تشغيل مصاب بثغرة أمنية يحمل الاسم NSecKrnl.sys للتلاعب ببرامج حماية نقاط النهاية، بهدف تقويض الرؤية الأمنية والتغطية على التحركات الجارية.

وعلى الصعيد الموازي، رصدت Microsoft مؤشرات تقنية تثبت وجود طرف ثانٍ غير مرتبط بالمجموعة الأولى داخل البيئة الرقمية ذاتها، حيث اعتمد المهاجم الثاني على تقنيات تحميل مكتبات الربط الديناميكي الجانبي واستخدام أبواب خلفية مخصصة، مضاعفاً تعقيد عمليات التحقيق وتحديد المسؤولية.

وبينت مسارات التحقيق اللاحقة أن المهاجمين تحركوا عرضياً خارج حدود الشبكة الأولى وصولاً إلى مؤسسة ثانية، ما أكد تعرضها للاختراق ضمن حملة برمجيات الفدية نفسها المرتبطة بـ Storm-2603.

وأوضح فريق الاستجابة للحوادث في Microsoft أن تداخل مسارات المهاجمين وفر لهما غطاء للحفاظ على تواجدهما لفترات طويلة، مع تعمية النطاق الحقيقي للاختراق. وساهم دمج تكتيكات برمجيات الفدية التقليدية مع أساليب التخفي المتقدمة في بناء قنوات وصول عميقة ومستدامة.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى