ثغرة CVE-2025-53770 يوم الصفر

أصبحت ثغرة أمنية خطيرة في خادم Microsoft SharePoint Server محور حملة هجوم إلكتروني واسعة النطاق ومتواصلة. تُعرف هذه الثغرة باسم CVE-2025-53770 بدرجة CVSS تبلغ 9.8، وتُصنف على أنها ثغرة يوم الصفر، وهي وثيقة الصلة بثغرة CVE-2025-49704 (CVSS 8.8)، وهي ثغرة تتعلق بحقن الشيفرة البرمجية وتنفيذها عن بُعد، وقد عُولجت خلال تحديثات Microsoft لشهر يوليو 2025. ينشأ هذا الخلل من إلغاء تسلسل البيانات غير الموثوقة، مما يسمح للمهاجمين بتنفيذ شيفرة ضارة عن بُعد ودون الحصول على إذن مناسب.

الهجمات النشطة والأنظمة المتأثرة

أكد الباحثون أن مجرمي الإنترنت يستغلون هذه الثغرة بنشاط ضد خوادم SharePoint Server المحلية. والجدير بالذكر أن SharePoint Online في Microsoft 365 لم يتأثر. يستغل المهاجمون طريقة تعامل SharePoint مع الكائنات غير الموثوقة أثناء إلغاء التسلسل، مما يمنحهم القدرة على تنفيذ الأوامر قبل مصادقة المستخدم. بمجرد دخولهم إلى النظام، يمكن للمهاجمين إنشاء حمولات مزورة باستخدام مفاتيح آلية مسروقة، مما يتيح لهم التنقل الجانبي والوصول المستمر. هذا يجعل الكشف عن هذه الثغرة والحد منها أمرًا صعبًا، حيث يمكن أن يحاكي نشاطهم حركة مرور SharePoint المشروعة.

سلاسل الاستغلال المعقدة

تشير الأدلة إلى استخدام ثغرة CVE-2025-53770 إلى جانب ثغرات أخرى، بما في ذلك ثغرة CVE-2025-49706 (ثغرة انتحال شخصية بدرجة CVSS 6.3) وCVE-2025-49704، لتشكيل سلسلة استغلال متقدمة تُعرف باسم ToolShell. يستغل المهاجمون ثغرة CVE-2025-49706 لإيصال حمولات تنفيذ برمجي عن بُعد تستغل ثغرة CVE-2025-49704. يُقال إن إضافة '_layouts/SignOut.aspx' كمرجع HTTP يُحوّل CVE-2025-49706 إلى CVE-2025-53770، مما يُتيح عملية استغلال أكثر سلاسة.

عادةً ما تتضمن الهجمات حمولات ASPX المُرسلة عبر PowerShell، بهدف سرقة إعدادات MachineKey للخادم (مفتاح التحقق ومفتاح فك التشفير). تُعد هذه المفاتيح بالغة الأهمية لأنها تُمكّن المهاجمين من إنشاء حمولات __VIEWSTATE ضارة يقبلها SharePoint على أنها صالحة، مما يُحوّل أي طلب مُصادق عليه إلى فرصة لتنفيذ تعليمات برمجية عن بُعد.

مقياس التسوية

حتى الآن، تم اختراق أكثر من 85 خادم SharePoint حول العالم، مما أثر على 29 مؤسسة على الأقل، بما في ذلك شركات متعددة الجنسيات وهيئات حكومية. بمجرد حصول المهاجمين على مفاتيح التشفير، تصبح عملية الإصلاح أكثر تعقيدًا. حتى بعد تطبيق تصحيح أمني، قد تسمح المفاتيح المسروقة للمهاجمين بالحفاظ على الوصول ما لم يتم تغييرها أو إعادة تكوينها يدويًا.

تدابير التخفيف

حتى إصدار تصحيح رسمي، نصحت مايكروسوفت المؤسسات بتفعيل تكامل واجهة فحص مكافحة البرامج الضارة (AMSI) في SharePoint. بالنسبة للعملاء الذين لا يستطيعون تفعيل AMSI، يُنصح بشدة بفصل خوادم SharePoint المعرضة للخطر عن الإنترنت.

في أعقاب تقارير الاستغلال المستمرة، أصدرت Microsoft تصحيحات لكل من CVE-2025-53770 والخلل الذي تم اكتشافه حديثًا، CVE-2025-53771، لحماية الأنظمة المعرضة للخطر.

تحذير وكالة الأمن السيبراني والبنية التحتية

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تنبيهًا يؤكد الاستغلال النشط للثغرة الأمنية CVE-2025-53770. تتيح هذه الثغرة للمهاجمين تنفيذ أوامر برمجية عن بُعد دون مصادقة عبر الشبكة، مما يشكل تهديدًا خطيرًا لأي بيئة SharePoint غير مُرقعة.