الأمن السيبراني

ثغرة حرجة في Microsoft SharePoint تُستخدم في هجمات واسعة النطاق

صورة Khaled AlZahrani Khaled AlZahraniمنذ أسبوع واحد
0 دقيقة واحدة
Critical Unpatched SharePoint Zero-Day Actively Exploited, Breaches 75+ Company Servers

كشفت تقارير أمنية حديثة عن ثغرة حرجة في Microsoft SharePoint Server، تم استغلالها في حملة هجمات نشطة وعلى نطاق واسع.

الثغرة، التي تحمل الرمز CVE-2025-53770، حصلت على درجة خطورة 9.8 من أصل 10 حسب مقياس CVSS، وتُصنّف كـ ثغرة من نوع Zero-Day (ثغرة غير مُرقعة تُستغل حاليًا).

تفاصيل الثغرة

بحسب شركة مايكروسوفت، فإن الثغرة ناتجة عن “إلغاء تسلسل بيانات غير موثوقة” داخل SharePoint Server، مما يُمكّن المهاجمين من تنفيذ أوامر عن بُعد عبر الشبكة دون الحاجة إلى مصادقة. وتُعد هذه الثغرة نسخة مطوّرة من CVE-2025-49706، وهي ثغرة أخرى تم إصلاحها ضمن تحديثات يوليو 2025 الأمنية.

تم اكتشاف الثغرة والإبلاغ عنها بواسطة Viettel Cyber Security من خلال برنامج ZDI التابع لـ Trend Micro.

الوضع الحالي والاستغلال النشط

في بيان منفصل صدر بتاريخ 20 يوليو 2025، أكدت مايكروسوفت وجود هجمات نشطة تستهدف عملاء SharePoint Server المحليين، مع التأكيد على أن SharePoint Online ضمن Microsoft 365 غير متأثر.

في ظل غياب تصحيح رسمي، توصي مايكروسوفت بما يلي:

  • تفعيل تكامل AMSI (Antimalware Scan Interface) في SharePoint.

  • نشر Defender Antivirus على جميع خوادم SharePoint.

  • في حال تعذر تفعيل AMSI، يُوصى بفصل الخادم عن الإنترنت لحين توفر التحديث.

  • استخدام Defender for Endpoint لمراقبة الأنشطة المشبوهة بعد تنفيذ الهجوم.

الجدير بالذكر أن AMSI مُفعّل تلقائيًا في تحديث سبتمبر 2023 لـ SharePoint Server 2016/2019، وكذلك في إصدار 23H2 لـ SharePoint Server Subscription Edition.

سلاسل الاستغلال والتكتيكات

وفقًا لشركتي Eye Security و Palo Alto Networks Unit 42، يستغل المهاجمون سلسلتين من الثغرات:

  • CVE-2025-49706: تجاوز المصادقة عبر تعديل ترويسة HTTP Referer.

  • CVE-2025-49704: حقن أكواد (Code Injection) وتنفيذ أوامر.

وقد أطلق على سلسلة الاستغلال هذه اسم “ToolShell“، وتُستخدم لحقن أكواد PowerShell خبيثة بهدف:

  • زرع ملفات ASPX خبيثة (Web Shells).

  • سرقة إعدادات MachineKey الخاصة بـ SharePoint (مثل ValidationKey وDecryptionKey).

  • الحفاظ على الوصول المستمر وتنفيذ أوامر عن بُعد في أي طلب مصادَق عليه.

حجم التأثير

بحسب Eye Security، تم رصد أكثر من 85 خادم SharePoint مخترق حتى الآن، تابعة لـ 29 جهة مختلفة، من بينها شركات متعددة الجنسيات وكيانات حكومية.

وقد حذر بييت كيركهوفس، المدير التقني في Eye Security، من أن “المهاجمين ينفذون حركة جانبية بسرعة باستخدام قدراتهم على تنفيذ الأوامر عن بعد”.

من المهم الإشارة إلى أن مايكروسوفت لم تُحدّث بعد مستندات الدعم الفني للثغرتين CVE-2025-49706 وCVE-2025-49704 لتُشير إلى الاستغلال الفعلي.

الوسوم
صورة Khaled AlZahrani Khaled AlZahraniمنذ أسبوع واحد
0 دقيقة واحدة
صورة Khaled AlZahrani

Khaled AlZahrani

مقالات ذات صلة

New TokenBreak Attack Bypasses AI Moderation with Single-Character Text Changes

هجوم TokenBreak: ثغرة جديدة لتجاوز الحماية في نماذج الذكاء الاصطناعي باستخدام تعديل حرف واحد

2025-07-10
PoisonSeed Hackers Bypass FIDO Keys Using QR Phishing and Cross-Device Sign-In Abuse

هجوم PoisonSeed: استغلال تسجيل الدخول العابر للأجهزة لتخطي حماية FIDO

منذ أسبوع واحد
U.S. Sanctions Russian Bulletproof Hosting Provider for Supporting Cybercriminals Behind Ransomware

الولايات المتحدة تفرض عقوبات على شركة Aeza Group الروسية لاستضافتها البنية التحتية للبرمجيات الخبيثة

منذ 4 أسابيع
Facebook’s New AI Tool Asks to Upload Your Photos for Story Ideas, Sparking Privacy Concerns

فيسبوك يطلب تحميل الصور لتحليلها بالذكاء الاصطناعي مع مخاوف متزايدة بشأن الخصوصية

2025-07-12

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى