أدرجت CISA ثغرة شيربوينت CVE-2026-45659 ضمن قائمة الثغرات المستغلة فعلياً، بعد رصد هجمات نشطة تستهدف خوادم مايكروسوفت شيربوينت.
ما هي ثغرة شيربوينت CVE-2026-45659؟
تتعلق هذه المشكلة الأمنية بعيب من نوع تنفيذ تعليمات برمجية عن بُعد ناتج عن إلغاء تسلسل بيانات غير موثوقة داخل Microsoft SharePoint Server. وحصلت الثغرة على درجة خطورة 8.8 من 10، ما يضعها في فئة الثغرات العالية الخطورة.
الأهمية هنا لا تتوقف عند التقييم الرقمي فقط، بل في كون الاستغلال يتم عبر الشبكة ومن خلال حساب موثّق بصلاحيات محدودة نسبياً. ووفق متابعة تيكبامين، فهذا يعني أن الخطر لا يقتصر على الحسابات الإدارية أو الامتيازات المرتفعة.
- رقم الثغرة: CVE-2026-45659
- نوع الهجوم: تنفيذ كود عن بُعد
- السبب التقني: Deserialization of Untrusted Data
- درجة الخطورة: 8.8/10
كيف يمكن استغلال ثغرة شيربوينت على الخوادم المتأثرة؟
أوضحت مايكروسوفت أن المهاجم يحتاج إلى حساب موثّق فقط، دون صلاحيات مدير النظام. وفي سيناريو الهجوم عبر الشبكة، يمكن لمستخدم يملك الحد الأدنى من أذونات Site Member استغلال الخلل لتنفيذ أوامر مباشرة على الخادم.
هذا السيناريو يرفع مستوى القلق لدى المؤسسات، لأن الكثير من بيئات SharePoint تعتمد على حسابات داخلية متعدّدة. وعندما تصبح صلاحيات منخفضة كافية لبدء الهجوم، فإن نطاق المخاطر يتسع بشكل واضح.
ما الأنظمة التي تلقت التحديث الأمني؟
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Enterprise Server 2016
- موعد إصدار الإصلاح: مايو 2026
لماذا أضافت CISA الثغرة إلى قائمة KEV الآن؟
تقوم وكالة CISA بإدراج الثغرات في قائمة KEV عندما تتوفر أدلة على استغلال فعلي في الهجمات. إدراج ثغرة شيربوينت CVE-2026-45659 يعني أن التهديد لم يعد نظرياً، بل أصبح جزءاً من نشاط هجومي حقيقي يتطلب استجابة عاجلة.
ورغم أن تقييم مايكروسوفت أشار إلى أن الاستغلال "أقل احتمالاً" من بعض الثغرات الأخرى، فإن الواقع الميداني غيّر الصورة بسرعة. لذلك طُلب من الجهات الفيدرالية المدنية في الولايات المتحدة تطبيق التحديثات قبل 4 يوليو 2026.
- القائمة: Known Exploited Vulnerabilities
- سبب الإدراج: وجود استغلال نشط
- الموعد النهائي للتحديث: 4 يوليو 2026
ما علاقة نشاط الفدية الأخير بخوادم مايكروسوفت شيربوينت؟
في تطور موازٍ، كشفت مايكروسوفت عن نشاط تهديدي متزامن داخل الشبكة نفسها خلال تحقيق روتيني مرتبط ببرامج الفدية. وبيّنت النتائج أن جهتين مختلفتين عملتا في الوقت ذاته، مع استخدام أساليب تهدف إلى تثبيت الوصول وإرباك فرق الاستجابة للحوادث.
إحدى هذه المجموعات تُعرف باسم Storm-2603، وهي مرتبطة بنشر برمجية الفدية Warlock، وغالباً عبر استغلال ثغرات معروفة في خوادم شيربوينت المحلية منذ منتصف 2025.
ما الأدوات التي استخدمها المهاجمون بعد الاختراق؟
تشير الأدلة إلى استخدام أدوات مثل Velociraptor لإخفاء النشاط الخبيث ضمن سلوك إداري يبدو طبيعياً. كما جرى إنشاء قنوات وصول متعددة عبر Cloudflare Tunneling وZoho Assist واتصالات SSH مُعدة من خلال Visual Studio Code.
- أداة رصد وتحكم: Velociraptor
- قنوات وصول بعيدة: Cloudflare وZoho Assist
- وصول إضافي: SSH عبر Visual Studio Code
ماذا يجب أن تفعل المؤسسات الآن لحماية شيربوينت؟
الخطوة الأولى هي تثبيت التحديثات الأمنية فوراً على كل خوادم SharePoint المتأثرة، ثم مراجعة السجلات بحثاً عن نشاط غير معتاد من حسابات أعضاء المواقع. كما يُنصح بتقليل الامتيازات ومراقبة أدوات الإدارة الشرعية التي قد تُستخدم لإخفاء الهجمات.
الخلاصة أن ثغرة شيربوينت CVE-2026-45659 أصبحت تهديداً عملياً لا يحتمل التأجيل، ومع تسارع الاستغلال ترى تيكبامين أن سرعة التحديث والمراجعة الأمنية أصبحت العامل الحاسم لتفادي اختراق أوسع داخل الشبكات المؤسسية.