أصدرت مايكروسوفت عاجلة إرشاد بعد اكتشاف اثنتين من ثغرات اليوم الأول التي تؤثر على خوادم Microsoft SharePoint المحلية، والتي تم تحديدها باسم CVE-2025-53770 وCVE-2025-53771. يتم استغلال نقاط الضعف هذه بشكل نشط في البرية.
CVE-2025-53770 (CVSS 9.8) هي ثغرة أمنية خطيرة في RCE ناجمة عن إلغاء التسلسل غير الآمن للبيانات غير الموثوق بها في خوادم SharePoint المحلية. وهذا يشكل مرحلة تنفيذ سلسلة استغلال “ToolShell”.
CVE-2025-53771 (CVSS 6.3) عبارة عن ثغرة أمنية انتحالية ناتجة عن ثغرة أمنية انتحال الرأس في معالجة طلب SharePoint. فهو يسمح للمهاجمين بتجاوز المصادقة عن طريق صياغة طلب يحاكي سير عمل SharePoint الشرعي باستخدام رأس مرجعي مزيف.
نقاط الضعف هذه هي بالسلاسل معا في استغلال يعرف باسم ToolShell:
والأهم من ذلك، أن هذه ليست أخطاء جديدة تمامًا، ولكنها أشكال مختلفة من الثغرات الأمنية السابقة:
على الرغم من مايكروسوفت مصححة CVE-2025-49704 وCVE-2025-49706 في إصدار تصحيح الثلاثاء لشهر يوليو 2025، وجدت الجهات الفاعلة في مجال التهديد مؤخرًا مسارات جديدة لاستغلال نفس المنطق الأساسي، مما دفع Microsoft إلى تعيين CVEs جديدة وإصدار إصلاحات طارئة.
في العديد من الحالات المبلغ عنها، لا يزال من غير الواضح ما إذا كان الاستغلال العشوائي الذي تمت ملاحظته يعكس إساءة استخدام مكافحة التطرف العنيف الأصلية أو تجاوزاتها.
تؤثر هذه العيوب على خوادم SharePoint المحلية فقط ولا تنطبق على Microsoft 365 SharePoint Online.
تنطبق الثغرات الأمنية حصريًا على عمليات النشر المحلية لـ Microsoft SharePoint Server. يتضمن ذلك الخوادم التي تعمل على مضيفين فعليين بالإضافة إلى مثيلات SharePoint المُدارة ذاتيًا والتي تعمل في السحابة.
إصدارات SharePoint المتأثرة هي:
-
إصدار الاشتراك في SharePoint Server – أقدم من KB5002768
-
SharePoint Server 2019 – أقدم من 16.0.10417.20027 / KB5002754
-
شيربوينت سيرفر 2016
-
على الرغم من أن SharePoint Server 2010 و2013 قد وصلا إلى نهاية العمر وبالتالي لم يعدا مدعومين، إلا أن Microsoft ما زالت تشير إلى أنهما متأثران.
وفقًا لمايكروسوفت، لا يتأثر SharePoint Online في Microsoft 365.
على الرغم من أن SharePoint Online (Microsoft 365) لا يتأثر، إلا أن مثيلات SharePoint Server المُدارة ذاتيًا والمستضافة في السحابة (على سبيل المثال، على Azure أو AWS أو GCP) معرضة للخطر.
وفقًا لبيانات ويز، 9% من البيئات السحابية لديها موارد تقوم بتشغيل الإصدارات الضعيفة من SharePoint المُدار ذاتيًا.
على الرغم من ملاحظة الاستغلال النشط لخوادم Microsoft SharePoint المحلية باستخدام سلسلة استغلال ToolShell منذ 18 يوليو 2025، إلا أن الأساس لهذا الهجوم بدأ قبل ذلك بكثير – بدءًا من الكشف عن الثغرات الأمنية وعروض إثبات المفهوم قبل أشهر.
-
مايو 2025 – في Pwn2Own برلين، أظهر باحثون أمنيون من Viettel Cyber Security استغلالًا متسلسلًا يستهدف SharePoint المحلي. يجمع هذا الاستغلال بين CVE-2025-49704 (إلغاء التسلسل غير الآمن) وCVE-2025-49706 (اجتياز المسار/الانتحال) لتحقيق تنفيذ تعليمات برمجية عن بعد غير مصادق عليها (RCE). وقد أطلق على سلسلة الاستغلال اسم ToolShell.
-
9 يوليو 2025 (تصحيح الثلاثاء) – أصدرت Microsoft إصلاحات لـ CVE-2025-49704 وCVE-2025-49706. ويعتقد أن هذه تعالج بشكل كامل سلسلة ToolShell.
-
14 يوليو 2025 – باحثون أمنيون من شركة CODE WHITE GmbH مستنسخة علنا استغلال ToolShell الأصلي.
-
18 يوليو 2025 – أمن العين تم تحديد الاستغلال النشط لخوادم SharePoint في البرية باستخدام تجاوزات مدتها 0 يوم لثغرات ToolShell الأصلية. كان هذا بمثابة أول إساءة استخدام معروفة لسلسلة الاستغلال. ولوحظت موجة ثانية من الهجمات في 19 يوليو.
-
20 يوليو 2025 – اعترفت Microsoft بالهجمات وأصدرت نصيحة رسمية، حيث قامت بتعيين CVE-2025-53770 (إلغاء تسلسل RCE غير الآمن الجديد) وCVE-2025-53771 (ثغرة انتحال الخادم) لمتغيرات التجاوز. أضافت CISA CVE-2025-53770 إلى كتالوج الثغرات الأمنية المعروفة (KEV) في نفس اليوم.
-
21 يوليو 2025 – أصدرت Microsoft تصحيحات طارئة لإصدار SharePoint Server Subscription Edition وSharePoint Server 2019، مما يخفف بشكل كامل من تجاوزات ToolShell الجديدة.
-
الإدخال الأولي (CVE-2025-53771): يرسل المهاجم طلب POST إلى
/_layouts/15/ToolPane.aspx?DisplayMode=Editباستخدام رأس مرجعي معد (/_layouts/SignOut.aspx) لتجاوز المصادقة. يؤدي ذلك إلى الاستفادة من ثغرة أمنية في انتحال الرأس والتي تجعل SharePoint يتعامل مع الطلب على أنه مصادق عليه. -
تسليم الحمولة (CVE-2025-53770): مع الوصول الموثق إلى الضعفاء
ToolPane.aspxنقطة النهاية، يستغل المهاجم ثغرة أمنية في إلغاء التسلسل عن طريق إرسال حمولة ضارة في نص POST. يقوم SharePoint بإلغاء تسلسل البيانات التي يتحكم فيها المهاجم دون التحقق من صحتها، مما يؤدي إلى تنفيذ الأوامر المضمنة. يؤدي هذا إلى إسقاط غلاف ويب ASPX خفي (على سبيل المثال،spinstall0.aspx) في دليل مثل:C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\. يمنح غلاف الويب هذا وصولاً مستمرًا عن بُعد إلى الخادم. -
استخراج المفتاح: يتم استخدام غلاف الويب الذي تم تحميله لاستخراج مواد التشفير الحساسة، بما في ذلك ملف
ValidationKeyوDecryptionKeyمن الخادمmachineKeyإعدادات. تعتبر هذه المفاتيح ضرورية لتزوير حمولات ASP.NET ViewState الصالحة والموقعة التي سيثق بها SharePoint. -
تنفيذ التعليمات البرمجية عن بعد: باستخدام أدوات مثل ysoserial، المهاجم يصنع خبيثًا
__VIEWSTATEالحمولات الموقعة بالمفاتيح المسروقة. نظرًا لأن SharePoint يثق في التوقيع، فإنه يلغي تسلسل الحمولات المضمنة وينفذها. يتيح ذلك تنفيذ تعليمات برمجية عن بعد غير مصادق عليها، حتى بعد الموطئ الأولي – لاستكمال سلسلة الهجوم.
-
اسم الملف:
spinstall0.aspx -
تجزئة SHA256:
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514 -
المرجع:
/_layouts/SignOut.aspx -
نشر ل
/_layouts/15/ToolPane.aspx?DisplayMode=Edit -
الحصول على طلب ل
/_layouts/15/spinstall0.aspx -
اسم العملية:
w3wp.exeتفرخ PowerShell المشفرة -
عناوين IP:
107.191.58[.]76,104.238.159[.]149,96.9.125[.]147,103.186.30[.]186 -
مسار الملف:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
تطبيق آخر تحديثات أمان SharePoint:
-
إصدار الاشتراك في SharePoint Server (KB5002768)
-
خادم SharePoint 2019 (KB5002754)
-
مراقبة توفر تصحيح SharePoint Server 2016
-
تعتبر الإصدارات الأقدم غير المدعومة (2010 و2013) مكشوفة ويجب عزلها أو ترقيتها
إذا لم يكن التصحيح ممكنًا على الفور، فاتبع الخطوات التالية كحل بديل:
-
افصل خوادم SharePoint التي تواجه الإنترنت إذا تعذر تطبيق التصحيحات أو AMSI
-
تمكين AMSI في الوضع الكامل
-
قم بتدوير مفاتيح جهاز ASP.NET بعد التصحيح أو تمكين AMSI:
-
افترض وجود حل وسط إذا تعرض الخادم للإنترنت:
-
عزل/إيقاف الخادم
-
إبطال بيانات الاعتماد وتدوير الأسرار
-
إشراك فرق الاستجابة للحوادث
-
التدقيق وتقليل امتيازات التخطيط/المسؤول
-
-
رصد مؤشرات التسوية (IOCs).
يمكن لعملاء Wiz استخدام الاستعلامات المعدة مسبقًا المتوفرة في Wiz Threat Intel Center لتحديد ما إذا كانوا قد تأثروا بهذه الثغرات الأمنية:
دليل عملاء مايكروسوفت
Eye Security – SharePoint 0-day مكشوف (CVE-2025-53770)
HackerNews – مايكروسوفت تصدر تصحيحًا عاجلًا لخلل SharePoint RCE الذي تم استغلاله في الهجمات السيبرانية المستمرة
CISA – Microsoft تصدر إرشادات حول استغلال ثغرات SharePoint (CVE-2025-53770)
SOCRadar – حملة ToolShell: SharePoint Zero-Day الجديد (CVE-2025-53770) يؤدي إلى استغلال واسع النطاق
