تعرضت خوادم Microsoft SharePoint لثغرة أمنية حرجة تم استغلالها في حملة اختراق نشطة وعلى نطاق واسع. تحمل الثغرة معرّف CVE-2025-53770 وتم تقييمها بدرجة خطورة 9.8 على مقياس CVSS، وتُعد نسخة متطورة من ثغرة سابقة مسجلة بـ CVE-2025-49704 التي عالجتها مايكروسوفت في تحديثات “Patch Tuesday” لشهر يوليو 2025.
وفي بيان تحذيري صدر في 19 يوليو، أوضحت مايكروسوفت أن هذه الثغرة ناتجة عن إلغاء تسلسل بيانات غير موثوقة في بيئات SharePoint المحلية، ما يسمح للمهاجمين غير المصرح لهم بتنفيذ أوامر عن بُعد عبر الشبكة.
تنفيذ الأوامر قبل التوثيق وخداع آليات SharePoint الداخلية
أفادت مايكروسوفت أنها تعمل على تطوير تحديث أمني شامل للثغرة. ونسبت اكتشاف الثغرة إلى Viettel Cyber Security، والتي قامت بالإبلاغ عنها من خلال مبادرة “Zero Day Initiative” التابعة لـ Trend Micro.
وأوضحت الشركة أن SharePoint Online على منصة Microsoft 365 غير متأثر بالثغرة، فيما استُهدفت فقط الخوادم المحلية. ويستغل المهاجمون الخلل في آلية إلغاء التسلسل لتعزيز قدرتهم على تنفيذ أوامر بدون المرور بخطوات التوثيق، ثم يواصلون تحركاتهم الجانبية داخل الشبكة باستخدام مفاتيح MachineKey المسروقة، ما يسمح لهم بتزوير الحمولات المشروعة وصعوبة اكتشافهم وسط النشاط النظامي لـ SharePoint.
إجراءات فورية قبل صدور التحديث
طالبت مايكروسوفت المؤسسات المتضررة بتفعيل تكامل AMSI (واجهة فحص البرمجيات الضارة) في SharePoint ونشر برنامج Defender AV على جميع الخوادم. وأوضحت أن هذا التكامل مفعل افتراضيًا في تحديثات سبتمبر 2023 لإصداري SharePoint Server 2016 و2019، وكذلك في التحديث 23H2 لإصدار الاشتراك.
أما في حال عدم القدرة على تفعيل AMSI، فتنصح الشركة بعزل الخادم عن الإنترنت مؤقتًا، ونشر Microsoft Defender for Endpoint لمراقبة ومحاصرة الأنشطة التي تلي الاستغلال.
سلسلة استغلال ToolShell تكشف تعقيد الهجوم
بحسب شركتي Eye Security وUnit 42 من Palo Alto Networks، فإن المهاجمين يستغلون سلسلة ثغرات تبدأ بثغرة CVE-2025-49706، وهي ثغرة تجاوز توثيق، بالتزامن مع CVE-2025-49704 لتنفيذ أوامر عشوائية. وأطلقت الشركات على هذه السلسلة اسم ToolShell.
وأشارت Eye Security إلى أن إضافة “/_layouts/SignOut.aspx” كـ HTTP Referer أثناء الاستغلال يحوّل الثغرة CVE-2025-49706 إلى النسخة الجديدة CVE-2025-53770، مما يدل على أن الهجوم مركب ويعتمد على توجيه محدد.
سرقة مفاتيح MachineKey وتزوير حمولات __VIEWSTATE
يستخدم المهاجمون PowerShell لنقل حمولات ASPX إلى الخادم، تُمكّنهم من سرقة إعدادات MachineKey، بما في ذلك مفاتيح ValidationKey وDecryptionKey. وتُستخدم هذه المفاتيح لتوقيع وتشفير حمولات __VIEWSTATE، وهي آلية رئيسية في ASP.NET لتخزين الحالة بين الطلبات.
وبامتلاك هذه المفاتيح، يستطيع المهاجمون إنشاء حمولات مزورة يقبلها SharePoint كأنها موثوقة، ما يمنحهم إمكانية تنفيذ الأوامر عن بعد بسهولة ودون إثارة الشبهات. وأكد باحثون أن معالجة هذا النوع من الهجمات يتطلب أكثر من مجرد تحديث تقني، إذ لا تقوم التحديثات الدورية عادة بتغيير المفاتيح المشفرة المسروقة، ما يترك المنظمات عرضة حتى بعد التحديث.
أكثر من 85 خادمًا مخترقًا على مستوى العالم
قال Piet Kerkhofs، الرئيس التقني لشركة Eye Security، إن المهاجمين يتحركون بسرعة باستخدام هذه الثغرة لتنفيذ عمليات lateral movement داخل الشبكات. وتم حتى الآن تحديد اختراق أكثر من 85 خادم SharePoint تابعًا لـ 29 مؤسسة، من بينها شركات متعددة الجنسيات وجهات حكومية.
وقال Benjamin Harris، الرئيس التنفيذي لشركة watchTowr، إن الثغرة تشكل تحديًا خاصًا لأن SharePoint يعتمد بشكل كبير على آلية __VIEWSTATE، وامتلاك مفاتيحها يمكن أن يفتح الباب أمام سلسلة كاملة من الأوامر التنفيذية غير المرئية.
وأشار Harris أيضًا إلى أن بعض أنشطة الاستغلال المرتبطة بالثغرة الجديدة CVE-2025-53770 قد تكون قد تم الخلط بينها وبين الثغرات السابقة CVE-2025-49704 وCVE-2025-49706.
السلطات الأمريكية تُصدر تنبيهاً وتنسق مع مايكروسوفت
أكدت وكالة الأمن السيبراني وحماية البنية التحتية الأمريكية (CISA) أنها على علم بوجود استغلال نشط للثغرة CVE-2025-53770، والتي تتيح الوصول غير الموثق وتنفيذ أوامر عن بُعد عبر الشبكة.
وقال Chris Butera، المدير التنفيذي المؤقت للأمن السيبراني في CISA، إن الوكالة أُبلغت بالحادثة من جهة موثوقة وتواصلت مع مايكروسوفت فورًا، التي بدورها استجابت بسرعة وبدأت بإبلاغ الكيانات المحتمل تضررها.
وأكد Butera أن “هذا مثال حقيقي على التعاون العملياتي الفعال في مجال الأمن القومي، وأن الاستجابة السريعة للتهديدات السيبرانية أصبحت ممكنة بفضل الثقة المتبادلة بين الباحثين، ومزودي التقنية، ووكالة CISA”.
وقد أصدرت مايكروسوفت منذ ذلك الحين تحديثًا لمعالجة الثغرة CVE-2025-53770 بالإضافة إلى ثغرة جديدة أخرى تحمل الرقم CVE-2025-53771، والتي توفر طبقة إضافية من الحماية، مما يشير إلى أن هناك ثغرتين من نوع يوم الصفر تم استغلالهما كتجاوز للتحديثات السابقة.
