أعلنت وكالة الأمن السيبراني وحماية البنية التحتية الأميركية (CISA) يوم الأربعاء عن إدراج ثغرة خطيرة في Microsoft SharePoint Server إلى قائمة الثغرات المستغلة فعليًا (Known Exploited Vulnerabilities – KEV)، وذلك بعد رصد أدلة على استغلالها في هجمات واقعية. الثغرة، التي تحمل الرمز CVE-2026-45659، حصلت على تقييم خطورة 8.8 وفق مقياس CVSS، وتعود إلى مشكلة في إلغاء تسلسل بيانات غير موثوقة (Deserialization of Untrusted Data)، ما يتيح تنفيذ أوامر عن بُعد.
تفاصيل الثغرة
أوضحت مايكروسوفت أن أي مهاجم مصادق، حتى بمستوى صلاحيات عضو موقع فقط (Site Member)، يمكنه استغلال الثغرة لتنفيذ أوامر على خادم SharePoint دون الحاجة إلى صلاحيات إدارية أو امتيازات مرتفعة. التحديثات الأمنية التي أصدرتها الشركة في مايو 2026 شملت:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Enterprise Server 2016
ورغم أن مايكروسوفت صنفت احتمالية الاستغلال بأنها “أقل احتمالًا”، إلا أن إدراجها في قائمة KEV يؤكد أن الهجمات بدأت بالفعل. وبناءً عليه، ألزمت CISA الوكالات الفيدرالية المدنية الأميركية بتطبيق الإصلاحات قبل الرابع من يوليو 2026.
نشاط موازٍ يكشف تعقيد الهجمات
في سياق متصل، كشفت مايكروسوفت عن تحقيقات في هجمات فدية أظهرت وجود مجموعتين مختلفتين من المهاجمين تعملان في نفس الشبكة بشكل متزامن:
- المجموعة الأولى مرتبطة بجهة تهديد تُعرف باسم Storm-2603، والتي تنشر برمجية الفدية Warlock منذ منتصف 2025 عبر استغلال ثغرات في خوادم SharePoint. التحقيقات أشارت إلى محاولات وصول أولية عبر ثغرة أخرى (CVE-2025-11371) في منصة Gladinet Triofox، مع طلبات للوصول إلى ملفات مثل win.ini وweb.config.
- المجموعة الثانية غير مرتبطة بالأولى، واستخدمت تقنيات مثل DLL Side-Loading وبوابات خلفية مخصصة، مما صعّب عملية الإسناد والتتبع.
الهجمات تضمنت أيضًا استخدام أدوات مثل Velociraptor للتخفي وراء سلوك إداري مشروع، وإنشاء حسابات إدارية جديدة، إضافة إلى استغلال برنامج تشغيل ضعيف (NSecKrnl.sys) للتحايل على أنظمة الحماية الطرفية. كما تم رصد قنوات وصول عن بُعد عبر Cloudflare tunneling وZoho Assist وSSH عبر Visual Studio Code.
دلالات أمنية
تشير هذه التطورات إلى أن ما يبدو حادثة فدية واحدة قد يخفي وراءه نشاطًا أكثر تعقيدًا، يمتد عبر مؤسسات متعددة ويجمع بين تكتيكات مختلفة، بل ويشمل جهات تهديد متعددة تعمل بالتوازي. بالنسبة لفرق الأمن، الرسالة واضحة: الإشارات المعزولة لا تكشف القصة الكاملة، ويجب التعامل مع كل حادثة باعتبارها جزءًا من مشهد أكبر وأكثر تشابكًا.






























