تعرف علي الثغرة الأمنية التي يتم استغلالها في خوادم «Microsoft SharePoint»

الثلاثاء، 22 يوليو 2025 04:31 م

مايكروسوفت

محمد السيد

أتاحت شركة مايكروسوفت إصلاحًا طارئًا لسد ثغرة أمنية في برنامج SharePoint واسع الانتشار، والتي استغلها القراصنة في شن هجمات واسعة النطاق على الشركات، وكذلك بعض الوكالات الحكومية الأمريكية، وأصدرت الشركة تنبيهًا للعملاء يوم السبت الماضي، أعلنت فيه علمها بوجود استغلال "يوم الصفر" يستخدم لتنفيذ الهجمات، وأكدت أنها تعمل على إصلاح المشكلة.

قامت مايكروسوفت بتحديث إرشاداتها مضيفة تعليمات لمعالجة الثغرة

وفي يوم الأحد الماضي، قامت مايكروسوفت بتحديث إرشاداتها، مضيفة تعليمات لمعالجة الثغرة على إصدارات SharePoint Server 2019 وSharePoint Server Subscription Edition، بينما لا يزال مهندسو الشركة يعملون على إصلاح مماثل لإصدار SharePoint Server 2016 الأقدم.

أي شخص لديه خادم SharePoint مستضاف يواجه مشكلة

وقال آدم مايرز، نائب الرئيس الأول في شركة الأمن السيبراني CrowdStrike: “أي شخص لديه خادم SharePoint مستضاف، يواجه مشكلة، إنها ثغرة خطيرة”، وتستخدم منصة SharePoint في جميع أنحاء العالم من قبل الشركات والوكالات الحكومية لإدارة الوثائق الداخلية، وتنظيم البيانات، والتعاون بين الموظفين.

ما هو هجوم "يوم الصفر"؟

هجوم يوم الصفر هو نوع من الهجمات السيبرانية التي تستغل ثغرة أمنية غير معروفة سابقًا، ويشير مصطلح "يوم الصفر" إلى أن مهندسي الأمن لم يكن لديهم أي وقت لتطوير إصلاح أو تحديث أمني لسد الثغرة.

ووفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، فإن الاستغلال الذي يؤثر على SharePoint هو "نسخة من الثغرة الموجودة CVE-2025-49706 ويشكل خطرًا على المؤسسات التي تستخدم خوادم SharePoint داخلية (on-premise)".

وحذر الباحثون الأمنيون من أن الثغرة – المعروفة باسم "ToolShell" – تُعد خطيرة للغاية، وقد تتيح للمهاجمين الوصول الكامل إلى أنظمة ملفات SharePoint، بما يشمل الخدمات المرتبطة بها مثل Microsoft Teams وOneDrive.

كما حذرت مجموعة استخبارات التهديدات التابعة لشركة Google من أن هذه الثغرة قد تسمح للمهاجمين بتجاوز التصحيحات الأمنية المستقبلية.

ما مدى انتشار التأثير؟

ذكرت شركة الأمن السيبراني Eye Security في منشور لها أنها أجرت مسحًا لأكثر من 8000 خادم SharePoint حول العالم، واكتشفت أن العشرات من الأنظمة قد تم اختراقها بالفعل، مرجحةً أن الهجمات بدأت في 18 يوليو.

وأكدت مايكروسوفت أن الثغرة تؤثر فقط على خوادم SharePoint الداخلية، ولا تؤثر على خدمة SharePoint Online السحابية الخاصة بها.

لكن مايكل سيكورسكي، كبير مسؤولي التكنولوجيا ورئيس استخبارات التهديدات في وحدة 42 بشركة Palo Alto Networks، حذر من أن الاستغلال لا يزال يترك الكثير من الأنظمة عرضة للهجمات، خاصة داخل الحكومات، والمدارس، والمؤسسات الصحية (بما فيها المستشفيات)، والشركات الكبرى.

ماذا يجب عليك أن تفعل الآن؟

بما أن الثغرة تستهدف خوادم SharePoint، فإن العملاء الذين يستخدمون هذا المنتج يجب عليهم اتباع إرشادات مايكروسوفت فورًا لتحديث أنظمتهم الداخلية.

وبالرغم من أن نطاق الهجمات لا يزال قيد التقييم، أوصت وكالة CISA بفصل أي خوادم متأثرة عن الإنترنت فورًا حتى يتم تطبيق التحديثات الأمنية اللازمة.

ونصح سيكورسكي قائلاً: “نحث جميع المؤسسات التي تستخدم SharePoint داخليًا على اتخاذ إجراءات فورية، وتطبيق جميع التحديثات المتاحة حاليًا، وتلك التي ستصدر لاحقًا، وتغيير جميع المواد التشفيرية، والاستعانة بفرق استجابة لحوادث الأمن السيبراني. أما الحل المؤقت، فهو فصل خادم Microsoft SharePoint عن الإنترنت لحين صدور التحديث الأمني”.