اختراق ثغرة SharePoint Zero-Day منذ 7 يوليو لسرقة المفاتيح والحفاظ على وصول دائم
تقرير أمني مفصل
الكاتب: المايسترو نيرو | 22 يوليو 2025
أعلنت شركة Check Point Research عن استغلال ثغرة أمنية حرجة في نظام Microsoft SharePoint Server منذ 7 يوليو 2025، حيث استهدف المهاجمون قطاعات حكومية وشركات اتصالات وتكنولوجيا في أمريكا الشمالية وأوروبا الغربية.
تفاصيل الثغرة والحملة
تشير التقارير إلى أن الثغرة المسجلة تحت الرقم CVE-2025-53770 تسمح بتنفيذ أوامر عن بُعد عبر استغلال عملية عدم التحقق من صحة البيانات المُرسلة في SharePoint. كما تم رصد محاولات استغلال مكثفة عبر عدة عناوين IP مرتبطة سابقًا بأنشطة خبيثة.
قامت الفرق الأمنية باكتشاف نشر قذائف ويب خبيثة (web shells) تُستخدم لاستخراج مفاتيح التشفير السرية من الخوادم المُستهدفة، والتي تم استغلالها لاحقًا للحفاظ على وصول دائم والتحكم الكامل بالنظام.
آلية الهجوم وأدواته
يستخدم المهاجمون سلسلة من الثغرات المتلاحقة مثل CVE-2025-49704 و CVE-2025-49706 (المعروفة باسم ToolShell)، بالإضافة إلى ثغرات جديدة تم الكشف عنها في يوليو 2025. يبرز ضمن الأدوات المستخدمة قذائف ويب محمية بكلمة مرور وأنظمة لتحميل وتنفيذ الأوامر عن بعد.
توضح التقارير أن أحد قذائف الويب يُعرف باسم spinstall0.aspx لا يُستخدم للوصول التقليدي بل لجمع مفاتيح التشفير التي تساعد المهاجمين في التسلل المستمر عبر خوادم متوازنة الحمل.
توصيات أمنية عاجلة
تدعو شركات الأمن الإلكتروني والمؤسسات إلى تحديث أنظمة SharePoint فورًا وتدوير مفاتيح التشفير وإعادة تشغيل الخوادم المتأثرة للحد من فرص الاستغلال. كما ينصح بمراقبة نشاط الشبكة بحثًا عن أي محاولات اتصال مشبوهة عبر قذائف الويب الخبيثة.
لا تزال الجهات الأمنية تعمل على تحديد هوية الجهات المهاجمة بشكل قاطع، إلا أن التحليلات تشير إلى أن مجموعة مرتبطة بالصين تقف خلف الهجمات، ما يزيد من خطورة الحملة وتأثيرها على مختلف القطاعات.
تم التعديل في: 22 يوليو 2025