تصاعدت التحذيرات الأمنية الدولية خلال عطلة نهاية الأسبوع بعد اكتشاف حملة استغلال نشطة لثغرة بالغة الخطورة في خوادم مايكروسوفت SharePoint التي تُدار داخل المؤسسات، وهي الثغرة التي سُجلت رسميًا تحت الرمز CVE-2025-53770، وأكدت شركة مايكروسوفت أنها تخضع للاستغلال الفعلي من قبل المهاجمين في الوقت الحالي.
باحثون في شركة Eye Security الهولندية كانوا أول من رصد الاستغلال واسع النطاق للثغرة مساء الجمعة الماضي، حيث تم تحديد موجتين من الهجمات تركزت بين مساء الجمعة وصباح السبت، استهدفت عشرات الخوادم عبر العالم. وأكدت الشركة أن من بين الضحايا مؤسسات حكومية وشركات تقنية وجهات تعمل في التعليم والرعاية الصحية.
الثغرة تتيح للمهاجمين تنفيذ أوامر داخل خوادم SharePoint دون الحاجة إلى تسجيل دخول أو استخدام بيانات اعتماد، مستغلين نقطة ضعف في ملفات لتخصيص الواجهة داخل النظام. وتمكن المهاجمون من رفع ملفات خبيثة تحاكي صفحات SharePoint الرسمية وتعمل على سرقة المفاتيح التشفيرية الداخلية للنظام، وهي مفاتيح تُستخدم لتأمين المحتوى والتوقيع على البيانات.
وحسب تحليل الباحثين فإن الثغرة التي استُغلت كانت جزءًا من سلسلة نقاط ضعف تم الكشف عنها في مسابقة أمنية عالمية أُقيمت قبل شهرين في برلين، لكنها لم تكن تُستخدم فعليًا في الهجمات آنذاك. الخطير في الأمر أن أحد الباحثين اكتشف لاحقًا طريقة جديدة للالتفاف على نظام الحماية داخل SharePoint، وذلك من خلال تعديل بسيط في عنوان الطلب الذي يُرسل إلى الخادم.
هذا التعديل سمح للمهاجمين بالدخول إلى النظام دون الحاجة إلى اسم مستخدم أو كلمة مرور، ما جعل الثغرة شديدة الخطورة وسهلة الاستخدام في الهجمات الحقيقية.
شركة مايكروسوفت أصدرت بشكل عاجل تحديثات أمان جزئية لأنظمة SharePoint 2019 وSubscription Edition، فيما لم يتوفر بعد تحديث لإصدار SharePoint 2016، الذي لا يزال كثير من المؤسسات تعتمد عليه. وأوضحت الشركة أن مجرد تثبيت التحديث الأمني لا يكفي لمنع الخطر، إذ أن المهاجمين ربما يكونوا قد حصلوا بالفعل على مفاتيح التشفير التي تسمح لهم بتنفيذ هجمات مستقبلية حتى بعد إغلاق الثغرة.
وكالة الأمن السيبراني الأمريكية/ CISA أدرجت الثغرة الأمنية الجديدة ضمن قائمتها الرسمية للثغرات التي يُعرف أنها استُغلت فعليًا في هجمات حقيقية، وهو ما يُعد بمثابة إنذار شديد اللهجة. وبخلاف ما هو معتاد، ألزمت الوكالة جميع الجهات الحكومية في الولايات المتحدة بتثبيت الحلول الأمنية اللازمة خلال أقل من 48 ساعة، وهو إجراء نادر يُعتمد فقط عند وجود تهديد عاجل وواسع النطاق.
هذا التحرك السريع يُذكّر بإجراء استثنائي مماثل اتخذته الوكالة في وقت سابق من الشهر نفسه، عندما طالبت الوكالات الفيدرالية بإغلاق ثغرة خطيرة أخرى تُعرف باسم "Citrix Bleed 2"، خلال 24 ساعة فقط، نظرًا لما تمثله من خطر بالغ على أنظمة إدارة الشبكات والبوابات الإلكترونية. وتبيّن لاحقًا أن تلك الثغرة استُغلت من قبل جهات قرصنة متقدمة، الأمر الذي زاد من حالة التأهب الإلكتروني في المؤسسات حول العالم.
اعتماد هذا النوع من الجداول الزمنية القصيرة يُشير بوضوح إلى أن الثغرة الحالية في SharePoint لا تقل خطورة، وأنها قادرة على فتح الطريق أمام هجمات رقمية واسعة قد تستهدف أنظمة حيوية حال تأخر المعالجة.
الخبراء شددوا على أن من يملك خوادم SharePoint داخل مؤسسته ولم يُطبّق التحديثات الأخيرة أو يُجري فحصًا دقيقًا لاحتمالات الاختراق، فعليه أن يفترض تعرضه للهجوم بالفعل، ويتحرك فورًا لفحص الأنظمة وعزل أي نشاط مشبوه. وأطلقت Eye Security مؤشرات فنية دقيقة/IOCs يمكن من خلالها تتبع آثار الهجوم داخل سجلات الخوادم.
من المتوقع أن تواصل مايكروسوفت إصدار تحديثات إضافية وتحقيقات أوسع خلال الأيام المقبلة، فيما تتزايد الدعوات في الأوساط الأمنية إلى إعادة تقييم الاعتماد على أنظمة مغلقة قديمة وربطها بشكل غير آمن بالإنترنت.
