أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، في 22 يوليو 2025، ثغرتين أمنيتين في Microsoft SharePoint ضمن كتالوج الثغرات المعروفة التي تم استغلالها (KEV)، وهما CVE-2025-49704 وCVE-2025-49706، استنادًا إلى دلائل تؤكد وقوع استغلال نشط لهما.
وبناءً عليه، ألزمت الوكالة جميع وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) بمعالجة هذه الثغرات المكتشفة قبل يوم 23 يوليو 2025.
وقالت CISA في بيان محدث: “الوكالة على علم بوجود استغلال نشط لسلسلة ثغرات من نوع التزوير وتنفيذ التعليمات البرمجية عن بُعد تشمل CVE-2025-49706 وCVE-2025-49704، ما يتيح وصولاً غير مصرح به إلى خوادم SharePoint المحلية”.
الجهات الصينية وراء الهجوم عبر أداة ToolShell
تأتي هذه الخطوة في أعقاب إعلان شركة مايكروسوفت عن قيام مجموعات اختراق صينية مثل Linen Typhoon وViolet Typhoon باستغلال هذه الثغرات منذ 7 يوليو 2025 لاختراق خوادم SharePoint المحلية. وتُعرف سلسلة الثغرات هذه باسم ToolShell، وتضم:
-
CVE-2025-49704: ثغرة تنفيذ التعليمات البرمجية عن بُعد في SharePoint
-
CVE-2025-49706: ثغرة تنفيذ التعليمات بعد المصادقة
-
CVE-2025-53770: تجاوز المصادقة وتنفيذ التعليمات عن بُعد
-
CVE-2025-53771: ثغرة اجتياز المسارات
رغم أن ثغرة CVE-2025-53770 تجمع بين تجاوز المصادقة وتنفيذ التعليمات البرمجية، إلا أن الخبراء يؤكدون أن استغلال السلسلة لا يتطلب بالضرورة استخدام الثغرة CVE-2025-53771. إذ تشير التحليلات إلى أن الثغرتين CVE-2025-53770 وCVE-2025-53771 تشكلان طرق تجاوز للثغرتين CVE-2025-49704 وCVE-2025-49706 على التوالي.
وقالت مجموعة استخبارات الأمن السيبراني في Akamai: “السبب الجذري للثغرة CVE-2025-53770 هو مزيج من ثغرتين: تجاوز المصادقة (CVE-2025-49706) وثغرة في إزالة التسلسل الآمن (CVE-2025-49704)”.
زرع Web Shell وتنفيذ PowerShell ضار
أفادت شركة Symantec أن سلاسل الهجوم المكتشفة تتضمن استغلال الثغرات لتنصيب web shell يمكّن المهاجمين من سرقة بيانات MachineKey. كما تم رصد نشاط لاحق للهجوم تضمن تنفيذ أمر PowerShell مشفر لتنزيل ملف يُدعى “client.exe” من خادم خارجي، ثم إعادة تسميته محليًا إلى “debug.js”.
وأوضحت الشركة المملوكة لـBroadcom أن “تغيير اسم الملف إلى debug.js كان بهدف التمويه وتجنب الشبهات”، مضيفةً أن الملف التنفيذي يُستخدم لاحقًا لتشغيل سكريبت batch يجمع معلومات النظام والأسرار التشفيرية.
مايكروسوفت تؤكد المعلومات الأولية وتوضح دورها
وفي تعليق على استغلال الثغرات، أكدت مايكروسوفت أن معلوماتها المنشورة في النشرات الأمنية صحيحة “وقت النشر الأولي”، وأنها عادة لا تقوم بتحديث هذه المعلومات بعد صدورها. كما أشارت إلى أنها تقدم الدعم لوكالة CISA في تحديث كتالوج الثغرات المعروفة المستغلة.
آلية تجاوز AMSI… والتحذير من الاكتفاء بالإجراءات المؤقتة
كشفت شركة watchTowr Labs عن نجاحها في تطوير طريقة لاستغلال الثغرة CVE-2025-53770 مع تجاوز آلية Antimalware Scan Interface (AMSI)، وهي إحدى وسائل الحماية التي أوصت بها مايكروسوفت.
وقال الرئيس التنفيذي للشركة، بنيامين هاريس: “لقد تمكنا من تحديد الأنظمة الضعيفة حتى بعد تطبيق AMSI. لكن من المقلق أن بعض المؤسسات تختار تفعيل AMSI فقط بدلاً من تثبيت التحديثات. هذا تصرف خطير”.
وأضاف: “الآن بعد ارتباط الهجمات بجهات مدعومة من دول، من السذاجة الاعتقاد بأنهم سيعجزون عن تجاوز AMSI. يجب على المؤسسات تطبيق التحديثات، فلا توجد حماية كاملة دون ذلك. جميع أدوات الاختبار العامة (PoCs) ستُفعّل AMSI، ما قد يضلل المؤسسات ويجعلها تعتقد خطأ أن أنظمتها محمية”.
CISA تواصل التنسيق وتؤكد اتساع نطاق التأثير
وفي تعليق رسمي، أكدت وكالة CISA أنها لا تزال في مراحل الاستجابة المبكرة، وتواصل تقييم حجم التأثير المرتبط بثغرات SharePoint. وقال كريس بوتيرا، المدير التنفيذي المساعد للأمن السيبراني بالوكالة: “نواصل العمل عن كثب مع مايكروسوفت وشركائنا الفيدراليين وغيرهم للتعامل مع هذا الاستغلال النشط والتخفيف من آثاره”.
كما أكدت الوكالة أنها على علم بتضرر عدد من الوكالات الفيدرالية والهيئات المحلية والقبلية، وتعمل معها لتحديد النطاق وتخفيف المخاطر بشكل مناسب. وتشير التقديرات الأخيرة إلى اختراق ما يقرب من 400 جهة، بما يشمل وكالات حكومية وشركات ومؤسسات أخرى.
