اختراق آلاف الشركات بسبب ثغرة في إحدى خدمات مايكروسوفت الشهيرة

قالت السلطات الأميركية وباحثو أمن سيبراني إن ثغرة أمنية تم اكتشافها حديثا في خدمة Microsoft SharePoint تتسبب بهجمات إلكترونية نشطة.

وقد أطلقت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) تحذيرا خلال عطلة نهاية الأسبوع مفاده أن القراصنة يستغلون هذه الثغرة فعليا.

ولم تصدر مايكروسوفت بعد تحديثات أمنية (Patches) لجميع إصدارات SharePoint المتأثرة، مما يترك العديد من العملاء حول العالم عاجزين عن الدفاع ضد هذه الهجمات المستمرة.

وقالت مايكروسوفت إن الثغرة، التي تحمل رسميا الرقم CVE-2025-53770، تؤثر على الإصدارات التي تقوم الشركات بتثبيتها وإدارتها محليا على خوادمها الخاصة. وتستخدم SharePoint من قبل الشركات لتخزين ومشاركة وإدارة ملفاتها الداخلية.

وأكدت مايكروسوفت أنها تعمل حاليا على تطوير إصلاحات أمنية لمنع القراصنة من استغلال الثغرة.

وقد وُصفت هذه الثغرة بأنها من نوع “يوم الصفر” (Zero-Day)، وهو مصطلح يُطلق على الثغرات التي لا يُمنح فيها المورّد أي وقت لمعالجتها قبل أن يتم اكتشافها واستغلالها. وتشمل الإصدارات المتأثرة SharePoint Server 2016 وما بعدها.

ولم يُعرف بعد عدد الخوادم التي تم اختراقها حتى الآن، لكن من المرجح أن آلاف الشركات الصغيرة والمتوسطة التي تعتمد على هذا البرنامج قد تأثرت. ووفقا لصحيفة واشنطن بوست، فقد تم بالفعل اختراق عدة وكالات اتحادية أميركية وجامعات وشركات في قطاع الطاقة.

وذكرت شركة Eye Security، التي كشفت عن الثغرة يوم السبت، أنها وجدت “عشرات” من خوادم Microsoft SharePoint المعرضة للهجوم نشطة على الإنترنت في وقت النشر.

وعند استغلال هذه الثغرة، يمكن للقراصنة سرقة مفاتيح رقمية خاصة (Digital Keys) من الخوادم دون الحاجة إلى أي بيانات اعتماد لتسجيل الدخول.

وبمجرد دخولهم، يمكنهم زرع برمجيات خبيثة عن بُعد والوصول إلى الملفات والبيانات المخزنة. كما حذرت Eye Security من أن SharePoint يتكامل مع تطبيقات أخرى مثل Outlook وTeams وOneDrive، مما قد يزيد من خطر اختراق الشبكة وسرقة البيانات.

وأضافت الشركة أن الثغرة تنطوي على سرقة مفاتيح رقمية يمكن استخدامها لانتحال طلبات شرعية على الخادم، ما يعني أن على العملاء المتأثرين تثبيت التحديث الأمني (عند توفره) وتغيير مفاتيحهم الرقمية أيضا، لمنع القراصنة من إعادة اختراق الخادم.

وحثت وكالة CISA وجهات أخرى العملاء على “اتخاذ الإجراءات الموصى بها فورا”. وفي ظل غياب التحديثات أو الإجراءات الوقائية، يُنصح بفصل الأنظمة المتأثرة المحتملة عن الإنترنت.

ولا يُعرف حتى الآن الجهة المسؤولة عن تنفيذ هذه الهجمات، لكنها تأتي ضمن سلسلة من الهجمات السيبرانية التي استهدفت عملاء مايكروسوفت في السنوات الأخيرة.

في عام 2021، تم ضبط مجموعة قرصنة مدعومة من الحكومة الصينية تُعرف باسم Hafnium وهي تستغل ثغرة في خوادم البريد الإلكتروني Microsoft Exchange المُدارة ذاتيًا، مما أتاح تنفيذ عمليات قرصنة جماعية وسرقة رسائل البريد وجهات الاتصال من شركات حول العالم. ووفقًا للائحة اتهام حديثة من وزارة العدل الأميركية، فقد اخترق القراصنة أكثر من 60,000 خادم، وتتهم اثنين من المواطنين الصينيين بقيادة تلك العملية.

وفي عام 2023، أكدت مايكروسوفت تعرض أنظمتها السحابية لهجوم إلكتروني سمح للقراصنة الصينيين بسرقة مفتاح توقيع بريد إلكتروني حساس، مما مكّنهم من الوصول إلى حسابات بريد إلكتروني شخصية ومؤسسية تستضيفها الشركة.

كما أفادت مايكروسوفت أيضا بتعرضها لهجمات متكررة من قراصنة مرتبطين بالحكومة الروسية.