تُعد ثغرتا Microsoft SharePoint المعروفتان بـ CVE-2025-53770 وCVE-2025-53771 من الثغرات الأمنية الخطيرة التي ظهرت مؤخرًا، وهما أساس هجوم يوم الصفر.
في هذا المقال، سنستعرض تفاصيل هذه الثغرات، كيف تم اكتشافها، وما إن كان قد تم التعامل معها في الوقت المناسب، بالإضافة إلى الإجراءات التي يجب اتخاذها لحماية أنظمتك. إذا لم تتخذ إجراءات بعد، حتى لو كنت تعتقد أنك غير متأثر، فمن الضروري التصرف بسرعة، لأن التصحيح وحده لا يكفي.
لماذا هجوم يوم الصفر خطير؟
هناك سببين أساسيين وراء هجوم يوم الصفر الذي يهدد المؤسسات والشركات بالدرجة الأولى كونها تستخدم منتجات مايكروسوفت.
انتشار Microsoft SharePoint:
برنامج SharePoint هو منتج من مايكرووفت، وهي شركة تتمتع بقاعدة مستخدمين واسعة.
الإصدارات المحلية (On-Premises) المتأثرة بهذه الثغرات، وهي SharePoint Server 2019، SharePoint Server 2016، وSharePoint Server Subscription Edition، لا تزال مستخدمة في العديد من المؤسسات.
غالبًا ما تكون هذه البيئات خيارًا مدروسًا أو مفروضًا، مثل الجهات الحكومية أو البنية التحتية الحيوية، مما يجعلها أهدافًا جذابة للمهاجمين.
سهولة الاستغلال وتأثيره الكبير:
تجمع الثغرتان بين سهولة التنفيذ وتأثير كبير. لا يحتاج المهاجمون إلى بيانات اعتماد تسجيل الدخول أو اختراق أنظمة المصادقة متعددة العوامل (MFA) أو تسجيل الدخول الموحد (SSO).
الثغرة تتيح تجاوز المصادقة، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد (RCE) على SharePoint بشكل “شرعي” تمامًا.
بمجرد الوصول إلى هذه المرحلة، يمكن للمهاجمين استكشاف أجزاء أخرى من النظام، خاصة أن SharePoint غالبًا ما يكون مدمجًا مع تطبيقات مثل Office، Teams، OneDrive، وOutlook، مما يمنح المهاجمين إمكانية الوصول إلى بيانات حساسة.
كيف تم اكتشاف الثغرة؟
شركة Eye Security الهولندية كانت الأولى التي نشرت تقريرًا شاملاً عن هذه الثغرات.
قبل أيام من نشرها، كشفت شركة Code White الألمانية عبر منصة X عن وجود ثغرات معروفة (CVE-2025-49706 وCVD-2025-49704) تم استغلالها معًا في هجوم أُطلق عليه اسم “ToolShell” خلال فعالية Pwn2Own في برلين بين 15 و17 مايو 2025.
لاحقًا، أُعيد تصنيف هذه الثغرات بأرقام CVE-2025-53770 وCVE-2025-53771، على الرغم من أن مايكروسوفت أصدرت تصحيحات جزئية للثغرات الأصلية.
هل تم اكتشاف الثغرة في الوقت المناسب؟
مع الأخذ في الاعتبار الجدول الزمني، قد يتساءل البعض عما إذا كانت Eye Security اكتشفت الثغرة في الوقت المناسب، فقد مر شهر بين العرض التوضيحي في Pwn2Own واكتشاف الشركة للثغرة.
من المحتمل أن تكون الثغرة قد استُغلت قبل 18 يوليو. وفقًا لتقرير Eye Security، لم تكن هناك تفاصيل عامة عن آلية الهجوم وقت العرض التوضيحي.
تم اكتشاف رأس طلب HTTP Referer، الذي ربما ساهم في تحويل CVE-2025-49706 إلى ثغرة يوم الصفر، في 17 يوليو فقط.
تقرير من Check Point Research يشير إلى محاولات استغلال الثغرة في 7 يوليو، ربما دون نجاح كبير.
ومع ذلك، تصاعدت الهجمات بشكل كبير في 18 و19 يوليو، خاصة بعد تنبيه من Crowdstrike Falcon EDR لأحد عملاء Eye Security.
ارتباط بثغرات Ivanti
كشف تقرير Check Point Research عن ارتباط محتمل بين هجمات SharePoint وثغرات في منتجات Ivanti، وبالأخص CVE-2025-4427 و CVE-2025-4428.
أحد عناوين IP المستخدمة في هجمات SharePoint كان مرتبطًا أيضًا بهجمات استغلت ثغرات Ivanti.
هذا يشير إلى احتمال أن المهاجمين استفادوا من ثغرات Ivanti خلال الحملة، رغم أن الأدلة ليست قاطعة. من الجدير بالذكر أن إحدى ثغرات Ivanti تتضمن أيضًا تجاوز المصادقة، مما يشابه ثغرة SharePoint.
إذا كانت الثغرات في Ivanti قد استُغلت فعليًا، فقد يعني ذلك أن بعض المؤسسات لم تصحح هذه الثغرات بعد، على الرغم من توفر التصحيحات منذ 13 مايو، أو أن التصحيحات لم تكن كافية.
التصحيح وحده لا يكفي
هجوم “ToolShell” المرتبط بـ CVE-2025-53770 و CVE-2025-53771 متطور للغاية.
بمجرد اختراق النظام، يمكن للمهاجمين البقاء دون اكتشاف بفضل سرقة مفاتيح ASP.NET، التي تُستخدم للتحقق من صحة البيانات وتشفيرها داخل تطبيقات ASP.NET.
هذه المفاتيح ليست لمرة واحدة، مما يتيح إعادة استخدامها حتى بعد تطبيق التصحيحات.
لمنع ذلك، يجب إنشاء مفاتيح جديدة واستخدامها، خاصة للسيرفرات التي تعرضت للهجوم.
كإجراء احترازي، يُوصى بتطبيق هذا الإجراء على جميع سيرفرات SharePoint المحلية.
بالإضافة إلى ذلك، يجب تثبيت التصحيحات المتوفرة لجميع البيئات المتأثرة والاستعانة بفرق الاستجابة للحوادث أو شركات الأمن السيبراني.
الخطوات الموصى بها
- تثبيت التصحيحات فورًا: تأكد من تطبيق التصحيحات على SharePoint Server 2019، 2016، وSubscription Edition.
- تجديد مفاتيح ASP.NET: لمنع المهاجمين من استغلال المفاتيح المسروقة.
- الاستعانة بخبراء الأمن: لضمان التعامل الشامل مع الحادث.
- مراقبة الأنظمة: استخدم أدوات مثل Crowdstrike Falcon EDR للكشف عن أي نشاط مشبوه.
