حذّرت شركة «مايكروسوفت» من استغلال نشط لثغرة أمنية بالغة الخطورة في خوادم «شير بوينت» محليّة الاستضافة، وأصدرت تحديثاً أمنياً طارئاً يوم الأحد لمعالجة الثغرة المصنفة تحت الرمز CVE-2025-53770، والتي تتيح تنفيذ التعليمات البرمجية عن بُعد بسبب عملية “إلغاء تسلسل البيانات غير الموثوقة” في بعض نسخ خوادم «شير بوينت».
وأشارت «مايكروسوفت» إلى أنها على دراية بوقوع هجمات تستهدف عملاء «شير بوينت» على بيئة محلية من خلال استغلال هذه الثغرة، التي وُصفت بدرجة خطورة 9.8 على مقياس CVSS. كما كشفت الشركة عن ثغرة أخرى جديدة أقل خطورة تُصنف بكونها ثغرة انتحال (CVE-2025-53771) وتُتيح لمهاجم يمتلك صلاحيات محدودة تنفيذ عمليات انتحال عبر شبكة الاتصال نتيجة خلل في “تقييد المسارات ضمن مجلدات محددة”.
«ToolShell»… سلسلة ثغرات تُستغل للتنفيذ عن بُعد
الثغرتان الجديدتان على صلة بثغرتين سابقتين (CVE-2025-49704 وCVE-2025-49706) أُعلنت عنهما سابقاً ضمن تحديثات “الثلاثاء الأمني” لشهر يوليو، وتُعرف سلسلة الاستغلال الناتجة عنهما باسم «ToolShell». وأكدت الشركة أن التحديثات الأخيرة توفر حماية أكثر صرامة من تلك التي أُطلقت في يوليو، لافتةً إلى أن الثغرة المستغلة حالياً هي في الواقع نسخة متطورة من CVE-2025-49706.
التحديثات وتوصيات الحماية
أوضحت «مايكروسوفت» أن الثغرتين تؤثران فقط على خوادم «شير بوينت» محلية الاستضافة، ولا تمس «شير بوينت أونلاين» ضمن بيئة «مايكروسوفت 365»، وقد شملت التحديثات الأمنية الإصدارات التالية:
- Microsoft SharePoint Server 2019 (16.0.10417.20027)
- Microsoft SharePoint Enterprise Server 2016 (16.0.5508.1000)
- Microsoft SharePoint Server Subscription Edition
وللحد من المخاطر، أوصت الشركة المستخدمين باتباع إجراءات متعددة تشمل:
- استخدام إصدارات مدعومة من «شير بوينت» المحلي (2016، 2019، والنسخة الاشتراكية)
- تطبيق التحديثات الأمنية الأخيرة دون تأخير
- تفعيل واجهة فحص البرمجيات الخبيثة (AMSI) وتفعيل «الوضع الكامل» لأقصى حماية
- استخدام حلول متقدمة مثل «Microsoft Defender for Endpoint»
- تدوير مفاتيح ASP.NET الخاصة بالخادم، وإعادة تشغيل خدمات IIS
حملة استهداف كبرى… وتحذير من “الاختراق الشامل”
أفادت شركة «Eye Security» بأن ما لا يقل عن 54 جهة، تشمل بنوكاً وجامعات وكيانات حكومية، تعرضت لاختراقات ناجمة عن هذه الثغرة منذ 18 يوليو. كما أدرجت «وكالة الأمن السيبراني وأمن البنية التحتية الأميركية» (CISA) الثغرة ضمن قائمة الثغرات المستغلة المعروفة (KEV)، ملزمةً الجهات الفيدرالية الأميركية بتطبيق الإصلاحات قبل 21 يوليو.
من جهتها، قالت وحدة «Unit 42» في شركة «Palo Alto Networks» إن الحملة الجارية تُصنّف كتهديد ذي خطورة عالية وضرورة قصوى، مشيرةً إلى أن المهاجمين تجاوزوا ضوابط الهوية، بما في ذلك المصادقة المتعددة العوامل (MFA) وأنظمة الدخول الأحادي (SSO)، للوصول إلى صلاحيات عليا، وسرقة المفاتيح التشفيرية وزرع أبواب خلفية.
وأضاف مايكل سيكورسكي، المدير التنفيذي ورئيس استخبارات التهديدات في «Unit 42»: «إذا كانت خوادم شير بوينت لديك متصلة بالإنترنت، فمن المرجح أنك مخترق بالفعل… مجرد التحديث لا يكفي لعزل التهديد».
ودعت «Unit 42» جميع المؤسسات إلى تطبيق التصحيحات الأمنية فوراً، وتدوير المواد التشفيرية كافة، والانخراط في جهود استجابة فورية للحوادث.
