استغلال ثغرات يوم الصفر في Microsoft SharePoint في الهجمات الإلكترونية العالمية

في 19 يوليو 2025، كشف مركز استجابة أمان مايكروسوفت (MSRC) عن استغلال نشط لثغرتين في خوادم SharePoint المحلية: CVE-2025-49706 (ثغرة انتحال الهوية) وCVE-2025-49704 (ثغرة تنفيذ تعليمات برمجية عن بُعد). هذه الثغرات تؤثر فقط على خوادم SharePoint المحلية ولا تؤثر على SharePoint Online ضمن Microsoft 365. أصدرت مايكروسوفت تحديثات أمان شاملة لإصدارات SharePoint Server Subscription Edition، 2019، و2016، وحثت العملاء على تطبيقها فوراً للحماية.

رصدت مايكروسوفت اثنين من الفاعلين الدوليين الصينيين، Linen Typhoon وViolet Typhoon، يستغلون هذه الثغرات مستهدفين خوادم SharePoint المعرضة للإنترنت. بالإضافة إلى ذلك، يستغل فاعل تهديد آخر مقره في الصين يُدعى Storm2603 نفس الثغرات لنشر برمجيات فدية. والتحقيقات جارية مع فاعلين آخرين يستخدمون هذه الثغرات.

تحذر مايكروسوفت من أن هذه الثغرات تُدمج بسرعة من قبل الفاعلين في هجمات تستهدف أنظمة SharePoint المحلية غير المحدثة. يقوم الفاعلون بإجراء استطلاع ومحاولات استغلال عبر طلبات POST إلى نقطة النهاية ToolPane. يؤدي الاستغلال الناجح إلى تجاوز المصادقة، تنفيذ تعليمات برمجية عن بُعد، ونشر أصداف ويب.

توصي مايكروسوفت العملاء باستخدام إصدارات SharePoint المدعومة مع أحدث تصحيحات الأمان، وتمكين واجهة مسح مكافحة البرامج الضارة (AMSI) وبرنامج Microsoft Defender Antivirus أو ما يعادله، وتكوين AMSI على الوضع الكامل، وتدوير مفاتيح آلة ASP.NET لخادم SharePoint، وإعادة تشغيل خدمات معلومات الإنترنت (IIS)، ونشر Microsoft Defender for Endpoint أو حلول مماثلة.

سيتم تحديث منشور المدونة الخاص بـ MSRC مع استمرار التحقيقات، ولكن النتائج الحالية تؤكد أن القراصنة الصينيين يستغلون هذه الثغرات بهجمات برمجيات الفدية في 19 يوليو 2025.

في يوم الأحد، 27 أكتوبر 2024، كشفت شركة Microsoft عن هجوم إلكتروني نشط يستغل ثغرات في برنامج التعاون SharePoint الخاص بها على الخوادم المحلية. أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذيرًا يفيد بأن الثغرة تسمح للمهاجمين غير الموثوق بهم بالوصول الكامل إلى محتوى SharePoint وتنفيذ التعليمات البرمجية عن بُعد، مما يشكل مخاطر خطيرة على المنظمات المتأثرة حول العالم، بما في ذلك وكالات الولايات الأمريكية والباحثين.

أصدرت Microsoft تصحيحات أمنية مساء الأحد لإصدارين من SharePoint، وأطلقت تصحيحًا إضافيًا مساء الاثنين لـ SharePoint Server 2016، الذي يُستخدم بشكل رئيسي في مراكز البيانات المحلية. ولا يؤثر هذا الهجوم على خدمات SharePoint السحابية مثل Microsoft 365.

يقدّر باحثو Palo Alto Networks أن آلاف المنظمات حول العالم قد تكون تضررت. وأوضح مايكل سيكورسكي، المدير التقني ورئيس استخبارات التهديدات في وحدة 42 بشركة Palo Alto، أن المهاجمين "يقومون بسرقة بيانات حساسة، ونشر أبواب خلفية دائمة، وسرقة مفاتيح التشفير"، وقد عقدوا بالفعل موطئ قدم في الأنظمة. وأشار باحثو Eye Security إلى أنه نظرًا لأن خوادم SharePoint غالبًا ما تتصل بخدمات Microsoft الأخرى مثل Outlook وTeams، فقد يُسهل الخرق سرقة البيانات وجمع كلمات المرور.

رفضت Microsoft التعليق أكثر من تحديث مدونتها الرسمي. لا يزال النطاق الكامل وتأثير الهجوم قيد التحقيق، وتوصي CISA المنظمات بتطبيق التصحيحات فورًا لتقليل مخاطر الاستغلال.

تعرضت مايكروسوفت لهجوم إلكتروني كبير يستغل ثغرة في منتج SharePoint الخاص بها، مما أثر على الوكالات الفيدرالية الأمريكية والجهات الحكومية والباحثين حول العالم. استهدف الهجوم إصدارًا محددًا من SharePoint، وأكدت مايكروسوفت أن الثغرة ما زالت موجودة حتى يتم إصدار التصحيح. ردًا على ذلك، أصدرت مايكروسوفت تحديث أمان عاجل لإصلاح الثغرة التي تُستخدم بنشاط في هذه الهجمات الإلكترونية العالمية المستمرة. أبرز الحادث المخاطر التي تواجهها المنظمات الحكومية والبحثية التي تعتمد على SharePoint، مما دفعها لاتخاذ إجراءات تخفيف فورية عبر التحديث الأمني لحماية الأنظمة المتأثرة.

أصدرت مايكروسوفت تحذيرًا بشأن هجمات إلكترونية نشطة تستغل ثغرات صفر يوم غير معروفة سابقًا في برنامج خادم SharePoint، الذي تستخدمه بشكل رئيسي الوكالات الحكومية الأمريكية والدولية والشركات للمشاركة الداخلية للمستندات. تستهدف هذه الثغرات خوادم SharePoint المحلية، وليس SharePoint Online في Microsoft 365. تُعرف الثغرات برموز CVE-2025-53770 وCVE-2025-53771، والتي تعمل كوسائل تجاوز للتصحيحات للثغرات السابقة في SharePoint برموز CVE-2025-49704 وCVE-2025-49706. تُسمى هذه المجموعة مجتمعة سلسلة استغلال ToolShell، وتسمح بتنفيذ تعليمات برمجية عن بُعد، مما يمكّن المهاجمين من اختراق عشرات المؤسسات حول العالم. أصدرت مايكروسوفت تصحيحات لهذه الثغرات خلال تحديث Patch Tuesday الأخير وحثت على التثبيت الفوري لهذه الإصلاحات لمنع الاستغلال. تنسق الشركة ردها مع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) وقيادة الدفاع السيبراني لوزارة الدفاع وشركاء الأمن السيبراني الآخرين حول العالم. أكدت الـ FBI معرفتها بالهجمات الجارية وتعمل عن كثب مع الشركاء في القطاعين الفيدرالي والخاص دون الكشف عن تفاصيل إضافية. حذرت مايكروسوفت من أن الثغرة تسمح للمهاجمين المصرح لهم بإجراء انتحال عبر الشبكات، مما قد يخفي هويات المهاجمين ويتيح التلاعب بالاتصالات الموثوقة داخل الوكالات. نصحت التوجيهات المؤقتة العملاء الذين لا يمكنهم تفعيل الحماية الموصى بها من البرمجيات الخبيثة بقطع اتصال خوادم SharePoint الضعيفة بالإنترنت حتى يتم تطبيق التحديثات. يؤكد هذا الهجوم أهمية إدارة التصحيحات واليقظة المستمرة، حيث يستغل المهاجمون حتى الثغرات الصغيرة بسرعة بعد الإعلان عنها.

أصدرت مايكروسوفت تحديثات أمان تتناول ثغرتين حرجة في برنامج SharePoint Server تُستغل بنشاط حول العالم لاختراق عشرات المؤسسات. الثغرتان، المعرّفتان باسم CVE-2025-53770 و CVE-2025-53771، تُعدان تجاوزات لتصحيحات لثغرات سابقة في SharePoint تحمل المعرفات CVE-2025-49704 و CVE-2025-49706، ويُطلَق عليهما مجتمعياً "ToolShell". يسمح هذا التسلسل الهجومي بتنفيذ شيفرات عن بُعد على خوادم SharePoint المحلية.

ظهرت تفاصيل الاستغلال في عطلة نهاية الأسبوع، مما دفع مايكروسوفت لإصدار تحذير رسمي. تم تضمين هذه التحديثات في إصدار Patch Tuesday الخاص بمايكروسوفت في بداية الشهر. وقد نبهت الشركة الشركات والوكالات الحكومية إلى الهجمات الجارية التي تستهدف هذه الثغرات.

تُبرز هذه الحوادث كيف يستغل المهاجمون الإعدادات الافتراضية، والتشفير القديم، والأدوات الموثوقة غير المحمية لاختراق بيئات محمية جيداً دون الاعتماد على ثغرات صفر يوم جديدة. يستخدم المهاجمون تقنيات مبرمجة ومؤتمتة تحاكي سلوك النظام الطبيعي للبقاء غير مكتشفين.

كما تؤكد مايكروسوفت المخاطر الأمنية المتزايدة المرتبطة بدمج نماذج اللغة الكبيرة (LLMs) في التطبيقات المختلفة، وأصدرت "ورقة الغش لأفضل ممارسات أمان نماذج اللغة الكبيرة" لتوجيه التعرف على نقاط الضعف المتعلقة بالذكاء الاصطناعي ومعالجتها.

يؤكد خبراء الأمن أهمية ترقية جميع الثغرات الحرجة وعالية الخطورة بسرعة. يُعرف أن المهاجمين يستغلون ثغرات البرامج المكتشفة حديثاً بسرعة، أحياناً خلال ساعات من الإعلان عنها. يهدف إصدار هذه التصحيحات والتحذيرات إلى مساعدة المؤسسات على الوقاية من الأضرار المحتملة نتيجة محاولات الاستغلال النشطة هذه.

في 20 يوليو 2025، أصدرت مايكروسوفت تحديثات أمنية عاجلة لسد ثغرات حرجة في خادم SharePoint المحلي تُستغل بنشاط في هجمات إلكترونية واسعة النطاق. الخلل الرئيسي، المشار إليه بـ CVE-2025-53770 وبدرجة CVSS تبلغ 9.8، يسمح بتنفيذ التعليمات البرمجية عن بُعد بسبب تسلسل غير موثوق للبيانات. وفي الوقت نفسه، كشفت مايكروسوفت عن ثغرة تزوير ذات صلة CVE-2025-53771 (درجة CVSS 6.3) ناجمة عن قيود غير صحيحة على أسماء المسارات تسمح لمهاجم مخول بالتزوير عبر الشبكة. تؤثر هذه الثغرات فقط على نسخ خادم SharePoint المحلية ولا تؤثر على SharePoint Online في Microsoft 365.

أقرت مايكروسوفت بأن هذه الاستغلالات، التي تم التطرق لها جزئياً في تحديث Patch Tuesday لشهر يوليو 2025، مرتبطة بثغرات سابقة CVE-2025-49704 وCVE-2025-49706. سلسلة الاستغلال المسماة ToolShell تستفيد من هذه العيوب لتحقيق تنفيذ التعليمات البرمجية عن بُعد. توفر تحديثات يوليو حماية أقوى مقارنةً بالإصلاحات السابقة لهذه الثغرات.

أشادت مايكروسوفت بباحث مجهول أبلغ عن ثغرة التزوير (CVE-2025-53771). وأكدت على أهمية تطبيق التحديثات الأخيرة فوراً أو تمكين AMSI (واجهة فحص البرمجيات الخبيثة)، وتدوير مفاتيح ASP.NET الخاصة بخادم SharePoint وإعادة تشغيل IIS على جميع خوادم SharePoint لتخفيف الهجمات المستقبلية.

قال متحدث باسم مايكروسوفت إن الشركة تعطي أولوية للتحديثات السريعة وتصحيح أي تعارضات محتوى سابقة دون التأثير على إرشادات العملاء. تؤكد الحادثة التهديد المستمر للأجهزة الحكومية الأمريكية ووكالات الولايات التي تستخدم منتجات مايكروسوفت في ظل محاولات اختراق عالمية.

ثغرة أمنية حرجة في Microsoft SharePoint Server، مرقمة CVE-2025-53770 وبدرجة CVSS تبلغ 9.8، تم استغلالها بنشاط منذ 18 يوليو 2025 على الأقل، وفقًا لشركة الأمن الهولندية Eye Security. هذه الثغرة الصفرية هي نسخة معدلة من ثغرة أخرى في SharePoint (CVE-2025-49706، بدرجة CVSS 6.3) تم تصحيحها في تحديثات Patch Tuesday لشهر يوليو 2025 من مايكروسوفت. ومع ذلك، لم يتم تصحيح CVE-2025-53770 ولا تزال تسمح للمهاجمين غير المصرح لهم بتنفيذ التعليمات البرمجية عن بعد دون مصادقة من خلال استغلال طريقة SharePoint في فك تسلسل الكائنات غير الموثوقة عبر الشبكة.

أكدت مايكروسوفت علنًا على علمها بهجمات جارية تستهدف عملاء SharePoint Server المحليين في 19 يوليو 2025. تشمل الهجمات وضع باب خلفي على خوادم SharePoint المعرضة للخطر وسرقة مفاتيح أمان الخادم (ValidationKey و DecryptionKey). تتيح هذه المفاتيح للمهاجمين تزوير حمولات موثوقة مثل __VIEWSTATE والسيطرة الكاملة على الخوادم المتأثرة، مما يمكنهم من التحرك جانبياً والتسلل عن طريق التمويه بأنشطة SharePoint الشرعية.

أوضحت مايكروسوفت أن SharePoint Online (Microsoft 365) غير متأثر بهذه الثغرة. كإجراء تخفيفي مؤقت قبل إصدار التصحيح الرسمي، نصحت مايكروسوفت العملاء بتهيئة تكامل واجهة فحص مضاد البرامج الضارة (AMSI) في خوادم SharePoint المحلية ونشر Microsoft Defender Antivirus على جميع خوادم SharePoint. تم تمكين تكامل AMSI افتراضيًا بدءًا من تحديث الأمان في سبتمبر 2023 لـ SharePoint Server 2016-2019 وتحديث الميزة 23H2 لـ SharePoint Server Subscription Edition.

بالنسبة للمنظمات التي لا تستطيع تمكين تكامل AMSI، أوصت مايكروسوفت بقطع اتصال خوادم SharePoint بالإنترنت حتى يتوفر التصحيح. كما أوصت بنشر Defender for Endpoint لاكتشاف ومنع أنشطة الاستغلال بعد الهجوم.

ينبغي للمنظمات التي تعرضت لهجوم أو تشك في اختراقها مراجعة سجلات الخادم للبحث عن مؤشرات الاختراق، وعزل أو إيقاف الخوادم المتأثرة، وتدوير جميع بيانات الاعتماد والأسرار المكشوفة، حيث أن الترقية لا تلغي المفاتيح المسروقة التي تسمح بالوصول المستمر.

تم اكتشاف الثغرة وإبلاغ مايكروسوفت بها من قبل Viettel Cyber Security عبر مبادرة Trend Micro لصفر يوم (ZDI). وأبرزت تحذيرات مايكروسوفت أن الثغرة تنشأ من فك تسلسل بيانات غير موثوقة في SharePoint Server المحلي، مما يتيح تنفيذ تعليمات برمجية عن بعد عبر الشبكة.

ثغرة صفر يوم حرجة (CVE-2025-53770) في خادم Microsoft SharePoint يتم استغلالها بنشاط في هجمات واسعة النطاق تستهدف أكثر من 75 خادم شركة حول العالم حتى 19 يوليو 2025. هذا الخلل، وهو نسخة مطورة من ثغرة انتحال سابقة (CVE-2025-49706) التي تم تصحيحها في تحديثات Patch Tuesday لشهر يوليو 2025، يسمح للمهاجمين غير المصرّح لهم بتنفيذ التعليمات البرمجية عن بُعد من خلال استغلال طريقة SharePoint في تسلسل البيانات غير الموثوقة. يمكن للمهاجمين تنفيذ الأوامر قبل المصادقة، وتزوير حمولات موثوقة باستخدام مفاتيح الأجهزة المسروقة لتحقيق الاستمرارية أو التنقل الجانبي، ودمج أنشطتهم مع عمليات SharePoint الشرعية، مما يصعّب اكتشافها والاستجابة لها.

تعترف Microsoft بهذه الهجمات وتؤكد أن SharePoint Online في Microsoft 365 غير متأثر. تؤثر الثغرة على التثبيتات المحلية لخادم SharePoint Server 2016 و2019 والإصدار الاشتراكي. تُنسب اكتشاف والتبليغ عن الخلل إلى فريق Viettel Cyber Security عبر مبادرة Zero Day الخاصة بـ Trend Micro.

تقوم Microsoft بإعداد تحديث أمني شامل لحل المشكلة تمامًا. وحتى إصدار التصحيح، يتم حث العملاء على تمكين تكامل واجهة فحص مضادات البرمجيات الضارة (AMSI) — والمفعل بشكل افتراضي في تحديث الأمان لشهر سبتمبر 2023 لـ SharePoint Server 2016 و2019 وفي تحديث ميزة إصدار 23H2 للإصدار الاشتراكي — ونشر Microsoft Defender Antivirus وDefender for Endpoint على جميع خوادم SharePoint لاكتشاف ومنع نشاطات ما بعد الاستغلال. في البيئات التي لا يمكن فيها تفعيل AMSI، تنصح Microsoft بفصل خوادم SharePoint عن الإنترنت.

تصرح Microsoft: "يسمح تسلسل البيانات غير الموثوقة في خادم Microsoft SharePoint المحلي للمهاجمين غير المصرح لهم بتنفيذ التعليمات البرمجية عبر الشبكة." حدد باحثو Eye Security أن الهجمات الواسعة النطاق تستخدم CVE-2025-49706 مع سلسلة HTTP Referer محددة للتصعيد إلى CVE-2025-53770، مما يمكّن من تسليم حمولة تنفيذ التعليمات البرمجية عن بعد.

تمثل هذه الثغرة تهديدًا كبيرًا للمنظمات التي تستخدم بنية خادم Microsoft SharePoint المحلية، حيث تم الإبلاغ عن اختراق أكثر من 75 شركة خلال حملة الاستغلال المستمرة هذه.

في يوليو 2025، تم استغلال ثغرتين من نوع اليوم الصفر بنشاط في برامج خوادم نقل الملفات والتعاون المستخدمة على نطاق واسع في المؤسسات. أولاً، CrushFTP، خادم نقل ملفات متعدد البروتوكولات يدعم FTP وFTPS وSFTP وHTTP(S) وWebDAV وغير ذلك، وُجد به ثغرة صفر يوم مُسجلة كـ CVE-2025-54309. تسمح هذه الثغرة للمهاجمين بالحصول على وصول إداري عبر واجهة الويب على خوادم CrushFTP المعرضة للخطر. يستغل المهاجمون اتصالات HTTP(S) لاقتحام الخوادم التي لم تُحدث. ترتبط الثغرة بقدرة الخادم على تحميل تغييرات تكوين XML تلقائياً دون الحاجة لإعادة التشغيل، حيث يُحفَّز ذلك بتغير الطابع الزمني. تم اكتشاف الاستغلال في أوائل يوليو 2025، مع هجمات ناجحة ملحوظة على أنظمة، منها في ألمانيا. تعمل CrushFTP على تحديث وثائقها الرسمية مع تطور الموقف. ثانياً، تم استخدام ثغرة متغيرة في Microsoft SharePoint Server — مُسجلة كـ CVE-2025-53770 — في حملة واسعة النطاق بدأت على الأقل في 18 يوليو 2025. هذه الثغرة توسع ثغرة تزوير تم ترقيعها سابقاً (CVE-2025-49706). يستغل المهاجمون خللاً في إعادة تسلسل البيانات يسمح لهم بتنفيذ تعليمات برمجية عن بُعد دون مصادقة، وسرقة تكوين MachineKey الحساس (ValidationKey وDecryptionKey)، وتثبيت أبواب خلفية مستمرة. يتيح هذا الاختراق السيطرة الكاملة على الخادم والتنقل الأفقي داخل الشبكات. توصي مايكروسوفت وباحثو الأمن بتمكين تكامل واجهة فحص البرامج الضارة (AMSI) المثبتة افتراضياً في تحديثات سبتمبر 2023 لخوادم SharePoint 2016/2019 وتحديث إصدار 23H2 للاشتراك، ونشر Defender for Endpoint، أو فصل خوادم SharePoint عن الإنترنت حتى صدور التحديثات. SharePoint Online (Microsoft 365) غير متأثر. تشمل الثغرتان بنية تحتية مؤسسية حرجة ويستغلها الفاعلون الخبيثون بنشاط، مما يؤدي إلى اختطاف إداري وتنفيذ تعليمات برمجية عن بُعد على أنظمة محلية. تتركز إجراءات التخفيف الفورية على إدارة التصحيحات، تغييرات التهيئة، ونشر أدوات الكشف والاستجابة المتقدمة للنقاط الطرفية.