كشفت شركة Check Point Research أن الثغرة الحرجة التي تم الكشف عنها مؤخرًا في Microsoft SharePoint قد استُغلت فعليًا منذ 7 يوليو 2025، مشيرة إلى أن أولى محاولات الاستغلال استهدفت حكومة غربية كبرى لم يُكشف عن اسمها، ثم تصاعدت الهجمات بشكل ملحوظ في يومي 18 و19 يوليو، وشملت قطاعات حكومية واتصالات وبرمجيات في أمريكا الشمالية وأوروبا الغربية.
أشارت Check Point إلى أن الهجمات صدرت من ثلاث عناوين IP مختلفة، أحدها سبق استخدامه في استغلال ثغرات في أجهزة Ivanti Endpoint Manager Mobile. ووصفت الشركة الهجمات بأنها “حملة معقدة وسريعة الانتشار” تهدد آلاف المؤسسات حول العالم، داعية إلى تحديث الأنظمة الأمنية فورًا.
سلسلة استغلال تجمع بين تنفيذ الأوامر عن بُعد والانتحال
تعتمد سلاسل الهجوم على ثغرة CVE-2025-53770 الخاصة بتنفيذ أوامر عن بُعد في SharePoint Server، والمقترنة بثغرة CVE-2025-49706 الخاصة بالانتحال والتي تم إصلاحها ضمن تحديثات يوليو الأمنية من مايكروسوفت. وتتيح هذه السلسلة للمهاجمين الوصول الأولي إلى النظام وتصعيد الصلاحيات.
وبحسب مايكروسوفت، فإن ثغرتي CVE-2025-49704 وCVE-2025-49706 المعروفتين بسلسلة “ToolShell” تم الكشف عنهما أول مرة خلال مسابقة Pwn2Own في مايو 2025. أما الثغرتان CVE-2025-53770 وCVE-2025-53771 فقد كُشف عنهما لاحقًا كتحايلات على الإصلاحات السابقة، ما يبرز مدى تعقيد التهديد.
أشارت مايكروسوفت إلى أن تحديثات يوليو لم تكن كافية لإغلاق جميع الثغرات، مما دفعها إلى إصدار تحديثات أكثر صرامة لثغرتي 53770 و53771، مع تأكيد أن الأخيرة لم تُستغل حتى الآن في هجمات فعلية.
تنفيذ الأوامر وسرقة المفاتيح عبر Web Shells مخصصة
أوضح مارتن زوغيك من شركة Bitdefender أن ثغرة CVE-2025-53770 تستغل ضعفًا في طريقة تعامل SharePoint مع فك تسلسل البيانات غير الموثوقة، مما يسمح بتنفيذ أوامر عن بُعد دون مصادقة. ويستغل المهاجمون هذه الثغرة لنشر Web Shell ضار مبني بتقنية ASP.NET يقوم باستخراج المفاتيح التشفيرية الحساسة من النظام.
ويُستخدم هذا النوع من Web Shell لتوليد حزم __VIEWSTATE مزوّرة عبر مفاتيح تم الحصول عليها، مما يمنح المهاجمين قدرة على الوصول المستمر وتنفيذ أوامر على الخادم المصاب.
رصدت Bitdefender نشاطًا فعليًا لهذه الهجمات في الولايات المتحدة وكندا والنمسا والأردن والمكسيك وألمانيا وجنوب أفريقيا وسويسرا وهولندا، ما يشير إلى اتساع رقعة الاستهداف عالميًا.
أداة spinstall0.aspx: الاستمرارية وقرصنة المفاتيح
حددت Palo Alto Networks أن الهجوم يتضمن تنفيذ أمر PowerShell مشفّر بصيغة Base64 يقوم بإنشاء ملف في المسار:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
هذا الملف هو Web Shell يُستخدم لاستخراج مفاتيح التشفير مثل ValidationKeys وDecryptionKeys وإعدادات التوافق الخاصة بالخادم، والتي تُعد ضرورية لتزوير حزم المصادقة أو إنشاء جلسات مزيفة.
ووصفت شركة SentinelOne هذا الملف بأنه “أداة استطلاع واستمرارية” وليست مجرد Web Shell تقليدي، مشيرة إلى أن غرضه الرئيس هو جمع أسرار التشفير لتسهيل الاستغلال المستمر، خاصة ضمن بيئات SharePoint التي تعتمد على توازن الأحمال.
نشاط واسع النطاق وتنوع في تكتيكات الاستغلال
ذكرت SentinelOne أنها اكتشفت 3 مجموعات هجوم متميزة، بما في ذلك جهات تهديد مدعومة من دول، تقوم باستطلاع النظام وتنفيذ مراحل أولية من الهجوم. كما رصد الباحثون في 18 يوليو استخدام Web Shell محمي بكلمة مرور باسم “xxx.aspx”، يتيح تسجيل الدخول، تنفيذ الأوامر عبر cmd.exe، ورفع الملفات.
في الوقت ذاته، لوحظت هجمات تستخدم Web Shell آخر باسم “spinstall0.aspx” لاستكشاف أسرار التشفير على الخادم، بدلًا من تقديم وظائف تقليدية للتحكم.
وقد حدّدت CrowdStrike أن هذه الهجمات تبدأ بطلب HTTP POST مُعد خصيصًا يرسل إلى خادم SharePoint بهدف كتابة الملف الضار عبر PowerShell، مؤكدة أنها تصدّت لمئات المحاولات في أكثر من 160 بيئة مؤسسية.
تقنيات غير تقليدية للتخفي وعدم ترك أثر
كشفت SentinelOne أيضًا عن مجموعة هجوم أُطلق عليها اسم “no shell”، تبنّت أسلوبًا أكثر تقدمًا وهدوءًا، حيث استخدمت تنفيذ وحدات .NET داخل الذاكرة دون إسقاط ملفات على القرص، وهي تقنية تزيد من صعوبة الكشف والتحليل الجنائي، مما يشير إلى عمل جهات تهديد ماهرة أو فرق اختراق تحاكي الجهات المعادية الواقعية.
وبحسب شركة Mandiant التابعة لغوغل، فإن الهجمات الأولية نُسبت إلى مجموعة تهديد إلكتروني صينية، مشيرة إلى أن بعض الهجمات استهدفت قطاعات هندسية واستشارية ومؤسسات بنية تحتية حيوية، مع التركيز على سرقة مفاتيح التشفير التي يمكن أن تُستغل لاحقًا حتى بعد تطبيق الإصلاحات الأمنية.
تشير بيانات منصة Censys إلى وجود نحو 9,762 خادم SharePoint يعمل محليًا على الإنترنت، رغم أنه من غير المؤكد ما إذا كانت جميعها عرضة لهذه الثغرات، مما يستدعي سرعة التحرك لتحديث الأنظمة وتدوير المفاتيح وإعادة تشغيل الخوادم.
