كشف باحثون في Palo Alto Networks Unit 42 عن حملة استغلال نشطة تستهدف خوادم Microsoft SharePoint على مستوى العالم، مع تسجيل هجمات تعتمد على استغلال ثغرتين خطيرتين هما CVE-2025-49704 وCVE-2025-49706. وتتيح هذه الثغرات للمهاجمين الوصول غير المصرح به إلى وظائف مقيدة وتنفيذ أوامر عن بُعد على الخوادم المستهدفة، مما يزيد من خطورة الهجمات ويعقد فرص التصدي لها سريعاً.
الهجوم الإلكتروني على Microsoft SharePoint
رُصدت أنشطة ضارة تعتمد على إسقاط برمجيات خبيثة بصيغة ASPX عبر أدوات PowerShell، بالإضافة إلى سرقة مفاتيح الأجهزة (Machine Keys) التي تمكّن المهاجمين من الحفاظ على وصول طويل الأمد إلى الأنظمة. كما تم تحديد استخدام عنوان IP مشبوه هو 96[.]9[.]125[.]147 لتحميل وحدات dotnet خطيرة.
أشار التقرير إلى عدة تجزئات Hash تم توثيقها للتحقيقات الجنائية الرقمية، منها:
- 4A02A72AEDC3356D8CB38F01F0E0B9F26DDC5CCB7C0F04A561337CF24AA84030
- B39C14BECB62AEB55DF7FD55C814AFBB0D659687D947D917512FE67973100B70
- FA3A74A6C015C801F5341C02BE2CBDFB301C6ED60633D49FC0BC723617741AF7 (استهداف View State)
استهداف عالمي واستغلال متسلسل
أوضحت المعلومات الواردة أن المنظمات في مختلف القطاعات حول العالم باتت هدفاً مباشراً لهذه الهجمات المعقدة، بما في ذلك البنى التحتية الحساسة. وازدادت المخاوف بعد إعلان Microsoft مساء 19 يوليو الجاري عن رصد استغلال لثغرة إضافية تحت مسمى CVE-2025-53770، وهي في جوهرها متفرعة عن CVE-2025-49706.
من المطمئن أن SharePoint Online ضمن منظومة Microsoft 365 لم يتأثر بهذا التهديد، بينما تظل البيئات المحلية عرضة للاستغلال حتى إشعار آخر.
إرشادات مايكروسوفت للحماية والتصدي
أوصت مايكروسوفت المؤسسات المالكة لخوادم SharePoint محلياً باتخاذ تدابير وقائية فورية، تشمل:
- تفعيل تكامل AMSI الذي أُدرج تلقائياً في تحديث الأمان لشهر سبتمبر 2023 بالنسبة لإصدارات SharePoint Server 2016/2019 وSharePoint Server Subscription Edition (إصدار 23H2).
- نشر Microsoft Defender Antivirus لحماية الأنظمة من سلوكيات البرامج الخبيثة المرتبطة بهذا التهديد، حيث يتم التعرف على هذه الأنشطة تحت الأسماء:
- Exploit:Script/SuspSignoutReq.A
- Trojan:Win32/HijackSharePointServer.A
- نشر Microsoft Defender for Endpoint لمراقبة الشبكة والتحذير المبكر من الأنشطة المريبة، عبر التنبيهات مثل:
- احتمال تثبيت Web Shell
- احتمال استغلال ثغرات SharePoint Server
- سلوك مريب في عملية IIS Worker Process
- رصد وحظر برمجيات SuspSignoutReq وHijackSharePointServer
وفي حال تعذّر تفعيل AMSI، شددت مايكروسوفت على النظر بجدية في فصل الخوادم المتأثرة عن الإنترنت مؤقتاً، لحين إصدار التحديث الأمني المرتقب.
كما زودت مايكروسوفت المؤسسات بإرشادات تحليل متقدم عبر Microsoft 365 Defender لرصد مؤشرات الاختراق، من بينها Query مخصص لتحديد إنشاء ملفات تشير إلى نجاح الاختراق، مثل spinstall0.aspx في المسارات المعيارية الخاصة بخوادم SharePoint.
هذا التصعيد في الهجمات يبرز أهمية الالتزام بضوابط الأمن السيبراني الموصى بها من قبل الهيئة الوطنية للأمن السيبراني، لاسيما المتعلقة بـ “إدارة هويات الدخول والصلاحيات”، و”إدارة الثغرات”، و”حماية البيانات والمعلومات”، وفقاً للدليل الإرشادي للضوابط الأساسية للأمن السيبراني في المملكة، وضمان تعزيز قدرات الكشف المبكر والمرونة السيبرانية.
مع استمرار تطور الموقف، أكدت مايكروسوفت التزامها بإصدار تحديث أمني قريباً، إلى جانب توفير المزيد من الإرشادات للحفاظ على سلامة بيئات العملاء.
🔗 يمكن الاطلاع على تفاصيل الإرشادات مباشرة عبر مدونة مايكروسوفت
