SevenTnewS

الأمن السيبراني

CISA تضيف ثغرة في Microsoft SharePoint Server إلى قائمة الثغرات المستغلة مع ظهور هجمات برامج الفدية الموازية

CISA تحدد CVE-2026-45659 كحالة استغلال نشط، وتحث الوكالات الفيدرالية على تطبيق التصحيحات بحلول 4 يوليو 2026. Microsoft تفصل النشاط المتوازي لكل من Storm-2603 ومهاجم غير معروف باستخدام ثغرات SharePoint وأدوات التونيل.

Emmanuel Fabrice Omgbwa Yasse

2026-07-02 · قراءة 3 دقائق

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الأربعاء ثغرة عالية الخطورة في Microsoft SharePoint Server إلى كتالوج الثغرات المستغلة المعروفة (KEV)، مستشهدة بأدلة على استغلالها بنشاط في البيئة الفعلية.

الثغرة، المسجلة باسم CVE-2026-45659 والتي تحمل درجة CVSS تبلغ 8.8، هي خلل في تنفيذ التعليمات البرمجية عن بُعد ناتج عن إلغاء تسلسل البيانات غير الموثوقة. قامت Microsoft بتصحيح المشكلة في مايو 2026 عبر إصدارات SharePoint Server Subscription Edition و SharePoint Server 2019 و SharePoint Enterprise Server 2016.

أشارت الشركة إلى أن أي مهاجم تمت المصادقة عليه، وليس فقط أولئك الذين لديهم صلاحيات إدارية أو مميزة، يمكنه تشغيل الثغرة. في هجوم قائم على الشبكة، يمكن للمستخدم المصادق عليه الذي لديه على الأقل صلاحيات عضو الموقع (PR:L) استغلالها لتنفيذ التعليمات البرمجية عن بُعد على خادم SharePoint.

"يحتوي Microsoft SharePoint Server على ثغرة إلغاء تسلسل البيانات غير الموثوقة والتي تسمح لمهاجم مصرح له بتنفيذ التعليمات البرمجية عبر الشبكة،" قالت CISA.

وفقًا لإرشادات Microsoft، تحمل الثغرة تقييم "الاستغلال أقل احتمالًا". لا يزال من غير الواضح كيف يستغلها المهاجمون، أو من يقف وراء النشاط، أو ما هو هدفهم النهائي.

نظرًا للاستغلال النشط، يتعين على وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) تطبيق الإصلاحات بحلول 4 يوليو 2026.

Microsoft تكتشف نشاط تهديد متوازٍ من مجموعتين

في أواخر الشهر الماضي، كشفت Microsoft أن تحقيقًا روتينيًا في هجوم ببرنامج فدية كشف عن شيء غير معتاد: اثنان من المهاجمين غير المرتبطين يعملان في وقت واحد داخل نفس الشبكة، يستخدم كل منهما تقنيات متعمدة لتأمين الوصول المستمر وتعقيد الاستجابة للحوادث.

تم إرجاع مجموعة الهجمات إلى Storm-2603، وهو جهاز تهديد معروف بنشر برنامج الفدية Warlock، غالبًا عن طريق استغلال الثغرات المعروفة في خوادم SharePoint المحلية، وهي تكتيك قيد الاستخدام منذ منتصف 2025.

"في هذه الحالة، ربما تمت محاولة الوصول الأولي من خلال ثغرة منفصلة، مع طلبات لملفات مثل win.ini و web.config، مما يشير إلى استكشاف تضمين الملفات المحلية،" قالت Microsoft. تشير الأدلة إلى CVE-2025-11371 (درجة CVSS: 9.1)، وهي ثغرة خطيرة في Gladinet Triofox.

بمجرد الدخول، نشر جهاز التهديد أدوات مثل Velociraptor لمزج النشاط الخبيث مع السلوك الإداري الموثوق، وأقام قنوات وصول عن بُعد متعددة من خلال تونيل Cloudflare و Zoho Assist واتصالات Secure Shell (SSH) التي تم تكوينها عبر Visual Studio Code.

كما صعد الهجوم الصلاحيات عن طريق إنشاء حسابات مسؤول محلية ونطاق جديدة، بينما خدم سائق ضعيف ("NSecKrnl.sys") كقناة للتلاعب بحماية نقاط النهاية الأمنية وتقليل الرؤية.

في الوقت نفسه، قالت Microsoft إنها عثرت على علامات لجهاز تهديد ثانٍ غير مرتبط يتعايش في نفس البيئة، باستخدام DLL side-loading وأبواب خلفية مخصصة، مما يجعل الإسناد أكثر صعوبة.

كشف المزيد من التحقيقات أن المهاجمين انتقلوا أفقيًا من الشبكة الأولى إلى مؤسسة ثانية، مما يؤكد أن الضحية الثانية تعرضت أيضًا لنفس نشاط برنامج الفدية المنسوب إلى Storm-2603.

"معًا، مكّنت هذه التدفقات النشاطية المتداخلة من الوصول المستمر مع إخفاء النطاق الكامل للاختراق،" قال فريق الاستجابة للحوادث من Microsoft. "سمح مزيج تكتيكات برامج الفدية المعروفة والتقنيات الخفية لجهات التهديد بتأسيس وصول عميق ودائم."

"ما قد يبدو حادثة برنامج فدية واحدة يمكن أن يتوسع بسرعة إلى شيء أكثر تعقيدًا - يمتد عبر المؤسسات، ويمزج التكتيكات، وحتى يتضمن عدة جهات تهديد تعمل بالتوازي. بالنسبة لفرق الأمن، الرسالة واضحة: الإشارات المنعزلة نادرًا ما تروي القصة كاملة."