أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الأربعاء ثغرة شديدة الخطورة تؤثر على Microsoft SharePoint Server إلى كتالوج الثغرات الأمنية المستغلة المعروفة (KEV)، مستشهدة بأدلة على الاستغلال النشط.
الثغرة الأمنية، تعقبها CVE-2026-45659 (درجة CVSS: 8.8)، هي حالة تنفيذ تعليمات برمجية عن بعد ناشئة عن إلغاء تسلسل البيانات غير الموثوق بها. تمت معالجة هذه المشكلة بواسطة Microsoft في مايو 2026 لإصدار SharePoint Server Subscription Edition وSharePoint Server 2019 وSharePoint Enterprise Server 2016.
لاحظت Microsoft أن أي مهاجم مصادق عليه يمكنه تشغيل الثغرة الأمنية، وأنها لا تتطلب امتيازات إدارية أو امتيازات مرتفعة أخرى. في الهجوم المستند إلى الشبكة، يمكن للمهاجم المعتمد الذي لديه الحد الأدنى من أذونات أعضاء الموقع (PR:L) الاستفادة منه لتنفيذ التعليمات البرمجية عن بعد على SharePoint Server.
وقالت CISA: “يحتوي Microsoft SharePoint Server على عملية إلغاء تسلسل لثغرة أمنية في البيانات غير الموثوق بها والتي تسمح للمهاجم المعتمد بتنفيذ التعليمات البرمجية عبر الشبكة”.
وفقًا لاستشارة صانع Windows، تم تصنيف الخلل بتقييم “الاستغلال أقل احتمالًا”. من غير المعروف حاليًا كيف يتم استغلال الثغرة الأمنية، ومن يقف وراء هذا النشاط، وما هي الأهداف النهائية لهذه الجهود.
في ضوء الاستغلال النشط، تُنصح وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) بتطبيق الإصلاحات بحلول 4 يوليو 2026.
مايكروسوفت تكشف عن نشاط تهديد موازٍ من مجموعتين
في أواخر الشهر الماضي، كشفت مايكروسوفت أن تحقيقًا روتينيًا في برامج الفدية كشف عن مهاجمين غير مرتبطين يعملان في وقت واحد داخل نفس الشبكة، مع اعتماد تقنيات متعمدة لإنشاء وصول مستمر وتعقيد جهود الاستجابة للحوادث.
نُسبت مجموعة واحدة من الهجمات إلى Storm-2603، وهو جهة تهديد معروفة بنشر برنامج الفدية Warlock غالبًا من خلال استغلال نقاط الضعف المعروفة في خوادم SharePoint المحلية منذ منتصف عام 2025.

وقالت مايكروسوفت: “في هذه الحالة، من المحتمل أن تتم محاولة الوصول الأولي من خلال ثغرة أمنية منفصلة، مع طلبات لملفات مثل win.ini وweb.config، مما يشير إلى التحقق من تضمين الملف المحلي”. تشير الأدلة إلى أنه CVE-2025-11371 (درجة CVSS: 9.1)، وهو عيب خطير يؤثر على Gladinet Triofox.
عند حصوله على وصول أولي، يُقال إن جهة التهديد قد نشرت أدوات مثل Velociraptor لمزج النشاط الضار مع السلوك الإداري الموثوق به، بالإضافة إلى إنشاء قنوات وصول متعددة عن بُعد من خلال اتصالات Cloudflare Tunnel وZoho Assist وSecure Shell (SSH) التي تم تكوينها من خلال Visual Studio Code.
أدى الهجوم أيضًا إلى تصعيد الامتيازات من خلال إنشاء حسابات مسؤول محلي وحسابات مجال جديدة، في حين عمل برنامج التشغيل الضعيف (“NSecKrnl.sys”) بمثابة قناة للتلاعب بوسائل الحماية الأمنية لنقطة النهاية للمساعدة في تقليل ظهورها.
بالترادف، قالت مايكروسوفت إنها كشفت عن علامات على وجود جهة تهديد ثانية غير ذات صلة تتواجد في نفس البيئة باستخدام التحميل الجانبي لـ DLL والأبواب الخلفية المخصصة، مما يجعل الإسناد أكثر صعوبة.
وكشف المزيد من التحقيقات أن المهاجمين قد انتقلوا أفقيًا إلى ما وراء الشبكة الأولى وإلى منظمة ثانية، مما أكد أنهم تعرضوا للاختراق من خلال نفس نشاط برامج الفدية المنسوبة إلى Storm-2603.
وقال فريق الاستجابة للحوادث في Microsoft: “لقد مكنت تدفقات الأنشطة المتداخلة هذه معًا من الوصول المستمر مع إخفاء النطاق الكامل للاختراق”. “إن المزيج من تكتيكات برامج الفدية المعروفة والتقنيات المخفية سمح للجهات الفاعلة في مجال التهديد بإنشاء وصول عميق ودائم.”
“ما قد يبدو وكأنه حادث فدية واحد يمكن أن يتوسع بسرعة إلى شيء أكثر تعقيدًا يشمل المنظمات، ويمزج بين التكتيكات، وحتى يشمل جهات تهديد متعددة تعمل بالتوازي. بالنسبة لفرق الأمن، فإن المعنى الضمني واضح: نادرًا ما تحكي الإشارات المعزولة القصة الكاملة.”
