المنظمات التي تعمل Microsoft’s SharePoint يجب تحديث منصة التعاون وإدارة المستندات دون تأخير بعد تقارير متعددة عن استغلال طرف مجهول الهوية اثنان من نقاط الضعف المحفوظة حديثا ظهر.
Toolsel Toolsling ، نقاط الضعف ذات الصلة ، CVE-2025-53770 و CVE-2025-53771 السماح بتنفيذ الرمز البعيد (RCE) وخادم الخادم في SharePoint. يبدو أنها نشأت كمتغيرات لسلسلة استغلال RCE غير مصادقة في SharePoint والتي تم عرضها لأول مرة في مايو في حدث PWN2OWN في برلين.
يعمل Core RCE Vuln ، CVE-2025-53370 ، عن طريق تمكين المهاجم من سرقة مفاتيح التشفير من خوادم SharePoint الضعيفة ، والتي يمكن استخدامها بعد ذلك لإنشاء طلبات مصنوعة خصيصًا من أجل تحقيق RCE.
“تشير جميع العلامات إلى استغلال واسع النطاق – مع وجود أنظمة الحكومة والتكنولوجيا والمؤسسات المعرضة للخطر على مستوى العالم ،” WatchTowr وقال الرئيس التنفيذي بنيامين هاريس لـ Computer Weekly عبر البريد الإلكتروني.
“يقوم المهاجمون بنشر أجهزة خلفية مستمرة ، ولا سيما ، على طريق أكثر تطوراً من المعتاد: يسترجع Backdoor مفاتيح التشفير الداخلية في SharePoint – وتحديداً مفتاح الآلة المستخدمة لتأمين معلمة __viewstate.
أوضح هاريس: “__ViewState هي آلية أساسية في ASP.NET تخزن معلومات الحالة بين الطلبات. إنها موقعة تشفيرًا وتشفيرًا اختياريًا باستخدام حمولة ValidationKey و Decryptionkey. مع هذه المفاتيح في متناول اليد ، يمكن للمهاجمين أن يصنعوا حمولة __viewstate المشتركة التي يقبلها شحنة – Enistling remote code.”
خلال عطلة نهاية الأسبوع ، تعمل Microsoft إلى جانب السلطات الأمريكية ، بما في ذلك وكالة أمن الأمن السيبراني والبنية التحتية (CISA) ، وشركاء آخرين في جميع أنحاء العالم ، وحث العملاء على تحديث SharePoint.
تمت إضافة CVE-2025-53770 أيضًا نقاط الضعف المعروفة لـ CISA (كيف) كتالوج إجبار الهيئات الحكومية الأمريكية على إصلاحه.
مايكل سيكورسكي ، كبير مسؤولي التكنولوجيا ورئيس استخبارات التهديد ل الوحدة 42 في شبكات بالو ألتوقال إنه يتتبع “حملة تهديد عالية التأثير” ضد خوادم SharePoint.
وقال: “في حين أن البيئات السحابية تظل غير متأثرة ، فإن عمليات نشر SharePoint داخل الحكم-وخاصة داخل الحكومة ، والمدارس ، والرعاية الصحية ، بما في ذلك المستشفيات ، وشركات المؤسسات الكبيرة-معرضة لخطر فوري”.
“نحن نعمل حاليًا عن كثب مع [the] مركز استجابة أمان Microsoft [MSRC] لضمان حصول عملاؤنا على أحدث المعلومات ونحن نخطر العملاء المتأثرين والمؤسسات الأخرى بنشاط. “
كيف تكشف التحقيق
تم اكتشاف Toolshell لأول مرة في البرية من قبل فريق البحث في أمن العيون، بعد استلام حشود الكشف عن نقطة نهاية CrowdStrike Falcon (EDR) من عميل تحت الهجوم يوم الجمعة 18 يوليو.
بدا أن هذا التنبيه كان يشير إلى هجوم حشوة أو حشوة على الاعتماد الذي من خلاله كان الممثل المعني بالتهديد هو المصادقة على النظام المستهدف من أجل القيام بهجوم عبر الإنترنت أعمق.
ومع ذلك ، فقد أثبت هذا أنه رنجة حمراء ، عند الحفر بشكل أعمق ، وجد فريق العين أن المهاجم كان يدير هجماتهم دون المصادقة على الإطلاق.
“هذا عندما أدركنا أننا لم نعد نتعامل مع اقتحام بسيط قائم على الاعتماد” ، كتب فريق العين. “لم تكن هذه قوة غاشمة أو سيناريو تصيد.
قبل الإفصاح ، قالت شركة Eye إنها قامت بمسح أكثر من 8000 خادم SharePoint في جميع أنحاء العالم ووجدت أن العشرات من الأنظمة قد تعرضوا للخطر بالفعل في موجاتين من الهجمات ، الأول في 18 يوليو ، والثاني في 19 يوليو.
ليس خطرًا نظريًا
قال فريق العين إن خطر Toolsell لم يكن خطًا نظريًا ، مما يمنح المهاجمين القدرة على إجراء RCE على حماية الهوية ، وتمكينهم من الوصول إلى محتوى SharePoint وملفات النظام والتكوينات ، وإجراء حركة جانبية.
والأهم من ذلك هو حقيقة أن التصحيح وحده لن يخفف من المخاطر لأنه بما أن سلسلة الهجوم تبدأ بسرقة مفاتيح الشريعة المشفرة ، إذا لم يدور المستخدمون على الفور ، فلا يزال من الممكن استخدامها من قبل ممثل التهديد حتى لو تم تطبيق التصحيح بشكل صحيح.
وقال هاريس في WatchTowr: “لن تقوم التصحيح النموذجي تلقائيًا بتدوير أسرار التشفير المسروقة تلقائيًا وترك المؤسسات معرضة للخطر حتى بعد تصحيحها. في هذه الحالة ، ستحتاج Microsoft على الأرجح إلى التوصية بخطوات إضافية لعلاج الضعف وأي حل وسط بعد الاستجابة”.
“إذا تعرض مثيل SharePoint المتأثر للإنترنت ، فيجب معاملته على أنه معرض للخطر حتى يثبت خلاف ذلك.”
نماذج الثقة القديمة
ريك فيرغسون ، نائب رئيس الاستخبارات الأمنية في forescoutقال إن Toolsell كانت دراسة حالة مثالية في ما يحدث عندما تصطدم نماذج الثقة القديمة بممثل التهديد الحديث.
“يجب ألا يعامل المستخدم المصادق عليه أبدًا ككيان آمن مضمون ، لكن هذا الضعف يمنح تنفيذ الكود بشكل فعال دون الحاجة إلى امتيازات مرتفعة. بالنسبة إلى CISO ، فإن هذا يسلط الضوء على نقطة حرجة.
“لا يعتبر الثقة الصفر كلمة طنانة. إنها ضرورة. يجب أن يبدأ الأمان من فرضية أن كل مستخدم وكل جهاز غير موثوق به حتى يتم التحقق منه بشكل مستمر. تحتاج إلى تجزئة تحد من الحركة الجانبية والمراقبة التي يمكن أن تميز حتى الانحرافات الدقيقة من السلوك المتوقع.
وقال فيرغسون: “المهاجمون لا يدخلون فقط. إنهم بالفعل في الداخل. والسؤال هو إلى أي مدى يمكنهم الذهاب بمجرد وجودهم”.
