حملة قرصنة ضخمة تستغل ثغرة خطيرة في SharePoint: أكثر من 75 منظمة تحت التهديد

في مستجدات صادمة لعالم أمن المعلومات، تم اكتشاف ثغرة أمنية بالغة الخطورة لم تُعالج بعد في خوادم Microsoft SharePoint، وتُستغل بشكل نشط في هجمات إلكترونية طالت عشرات المنظمات حول العالم. يشير الخبراء إلى أن هذا الخلل – الذي يحمل اسم CVE-2025-53770 وتقييم خطورته 9.8 من 10 – يأخذ شكل يوم-صفر (Zero-Day)، ويعتبر أحد أكثر الهجمات حساسية لكونه يستهدف المنصات السحابية الداخلية (on-premises) لمعظم الشركات الكبرى.

يأتي هذا التطور بعد فترة قصيرة من إصدار مايكروسوفت تحديثات أمان شهر يوليو لتصحيح عدة نقاط ضعف، من بينها ثغرة سابقة (CVE-2025-49706) تُعد هذه الجديدة “سلالةٌ” مستحدثة منها. الخبراء في شركة Viettel للأمن السيبراني – عبر برنامج مكافآت الثغرات لشركة Trend Micro – هم من أبلغ مايكروسوفت بهذا الخطر، الذي يُتيح للمهاجمين تنفيذ تعليمات برمجية عن بعد (Remote Code Execution) على خوادم SharePoint عن طريق استغلال آلية معالجة للبيانات غير الموثوقة، ويعني هذا أن أي قرصان شبكة يستطيع مهاجمة هدفه والوصول لأنظمة حساسة دون الحاجة لتصريح أو مصادقة.

ومن المهم الإشارة إلى أن الحديث هنا يدور عن خوادم SharePoint الداخلية الخاصة بالشركات وليس الخدمات السحابية على Microsoft 365، ما يزيد من خطورة الموقف بالنسبة للجهات الحكومية والشركات التي تعتمد على البنى الأساسية المحلية. في ظل غياب تصحيح رسمي حتى الآن، توصي مايكروسوفت مسؤولي الأنظمة بسرعة تفعيل تكامل AMSI – وهو نظام فحص للبرمجيات الخبيثة مُدمج داخل SharePoint – بالإضافة إلى تثبيت برنامج الحماية Defender AV على جميع الخوادم ذات الصلة. هذا الإجراء الاحترازي يسمح برصد الهجمات ومنع بعض محاولات الاستغلال، خاصة وأن AMSI أصبح مفعلاً بشكل افتراضي منذ تحديثات أمان 2023 على بعض إصدارات SharePoint.

حملة هجوم منظمة وطريقة استغلال متقدمة
ويزداد القلق مع صدور بيانات من شركات تحليل الأمن الرقمي مثل Eye Security وUnit 42 من Palo Alto Networks، والتي أكدت أن الهجمات الجديدة تعتمد سلسلة ثغرات متداخلة – منها CVE-2025-49704 بالإضافة إلى الثغرة الرئيسية – تُسهّل للمهاجمين تنفيذ أوامر عشوائية على الأجهزة الضحية. لخّص الخبراء العملية باسم ToolShell، حيث يعتمد منفذو الهجوم على تحميل ملفات ASPX خبيثة عبر PowerShell ومن ثم سرقة مفاتيح MachineKey الحيوية لأنظمة SharePoint (كـ ValidationKey وDecryptionKey)، ما يمنحهم قدرة على تجاوز آليات الحماية التقليدية، ويجهز المسرح لتنفيذ تعليمات متقدمة عمداً تحت عباءة شرعية ظاهرية. وهكذا تتضح العلاقة الوثيقة بين الثغرات الجديدة وسابقتها، إذ يُعتقد أن جميع الهجمات الأخيرة تدور حول استغلال هذه الفئة من نقاط الضعف.

تسلط هذه المعلومات الضوء على مدى ضعف الشبكات المحلية في وجه الابتكارات المتواصلة للهجمات الإلكترونية. وتبرز هنا أهمية إعداد منظومة رصد وتحليل لاكتشاف محاولات تسلل من هذا النوع، فالوقت جوهري في مواجهة تهديدات يوم-صفر التي غالباً ما تنتشر بسرعة عبر نماذج هجوم تلقائي.

حصيلة مروعة وتهديد متصاعد
وللحصول على صورة مفصلة عن مدى انتشار الاستغلال، كشفت شركة Eye Security أنها قامت خلال فترة قصيرة بتنبيه أكثر من 75 جهة حول العالم تعرضت بالفعل لاختراق عبر تسريب قشرة إلكترونية خبيثة (web shell) داخل خوادم SharePoint الخاصة بها. المفزع أن قائمة الضحايا تشمل شركات ضخمة ومؤسسات حكومية رئيسية من قارات متعددة، ما يكشف عن نطاق استهداف “غير اعتيادي” ويوضح قدرة هذه الحملات على التحرك أفقياً بسرعة داخل شبكات الشركات، مستغلة الثغرة نفسها لتنفيذ أوامر وتحريك برمجيات ضارة بسرية بعيدة عن أعين مسؤولي تقنية المعلومات.

وهكذا يتضح الرابط بين توصيات مايكروسوفت وواقع تهديد الهجمات النشطة، إذ أصبح الامتثال للإجراءات المؤقتة – مثل قطع اتصال الخادم بالإنترنت في حال تعذر تفعيل AMSI أو الاعتماد على Defender للحماية من الأنشطة المريبة بعد الاختراق – ضرورة ملحّة حتى يصل التصحيح الرسمي المنتظر.

خلاصة وتوصيات سريعة
في ضوء هذه التطورات، تجد معظم المؤسسات نفسها في سباق مع الزمن لتحديث بنيتها الدفاعية واكتشاف أي إشارات على استغلال الثغرة؛ ويظل خيار تغيير بعض المصطلحات التقنية إلى مرادفات أكثر وضوحاً خطوة إيجابية في إيصال الرسالة للجمهور غير المتخصص. كما يفيد الربط بشكل أوضح بين خطورة الثغرة وسرعة انتشار الهجمات ضمن الخاتمة في شد انتباه القارئ. أخيراً، لا ضير من إضافة عبارة ربط تشير للحاجة الدائمة لمراجعة سياسات الأمن السيبراني وتوسيع نطاق التحذيرات الداخلية، فالوقاية تبدأ من وعي العاملين بآخر المستجدات والأخطار الرقمية.