أبرز النقاط
- ثلاث ثغرات في SharePoint Server تتعرض لاستغلال نشط حالياً، بما فيها ثغرة تنفيذ أكواد عن بُعد
- المهاجمون يسرقون مفاتيح IIS ويستخدمون تقنيات deserialization للبقاء داخل الشبكات ونشر البرمجيات الخبيثة
- CISA توصي بتطبيق تحديثات يوليو 2026 فوراً وتفعيل تكامل AMSI وعزل SharePoint عن الإنترنت ما لم يكن ضرورياً
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً عاجلاً لجميع المؤسسات التي تشغّل خوادم SharePoint Server، بعد تأكيد استغلال ثلاث ثغرات أمنية في هجمات حقيقية. التحذير يطال كل إصدار مدعوم من SharePoint يعمل محلياً (on-premises)، ويأتي في توقيت حرج مع تصاعد استهداف منصات التعاون المؤسسي من قِبل مجموعات التهديد المتقدمة.
ما الثغرات الثلاث المستغلة فعلياً؟
حددت CISA ثلاث ثغرات تتعرض لاستغلال نشط، تتفاوت في خطورتها لكنها مجتمعةً تشكّل تهديداً جسيماً:
- CVE-2026-32201 (درجة الخطورة 6.5): ثغرة انتحال هوية (Spoofing) كشفتها Microsoft في مارس، وأكدت CISA استغلالها في يونيو
- CVE-2026-45659 (درجة الخطورة 8.8): ثغرة تنفيذ أكواد عن بُعد (RCE) ظهرت في يونيو. اللافت أن Microsoft صنّفتها سابقاً بأن استغلالها "غير مرجّح"، لكن CISA أكدت استغلالها الأسبوع الماضي
- CVE-2026-56164 (درجة الخطورة 5.3): ثغرة تصعيد صلاحيات كانت ضمن الـ 622 ثغرة في تحديث Patch Tuesday لهذا الشهر — وهو أكبر تحديث أمني في تاريخ Microsoft
ثغرتان إضافيتان قد تعقّدان المشهد
لم تكتفِ CISA بالتحذير من الثغرات المستغلة، بل سلّطت الضوء على ثغرتين حرجتين إضافيتين من تحديث يوليو ذاته، لم تُستغلا بعد لكن Microsoft وصفتهما بأن "الاستغلال مرجّح أكثر":
- CVE-2026-55040 بدرجة خطورة 9.1
- CVE-2026-58644 بدرجة خطورة 9.8 — وهي الأعلى خطورة
هذه الدرجات المرتفعة تعني أن أي تأخير في التحديث قد يفتح الباب أمام موجة جديدة من الهجمات.
كيف يستغل المهاجمون هذه الثغرات؟
أوضحت CISA أن الثغرات الثلاث المستغلة ترتبط بأنشطة ما بعد الاختراق (post-exploitation)، وتشمل:
- سرقة مفاتيح IIS Machine Keys التي تُستخدم في تشفير البيانات الحساسة
- استخدام تقنيات Deserialization للحصول على ثبات (persistence) داخل الشبكة
- نشر برمجيات خبيثة بعد السيطرة على الخادم
في تحذير سابق صدر في أغسطس 2025، وثّقت CISA هجمات "ToolShell" التي ربطت بين ثغرتين (CVE-2025-49706 وCVE-2025-49704) لاختراق خوادم SharePoint ونشر برنامج الفدية Warlock. ورغم عدم نسب النشاط رسمياً لجهة محددة، أشارت Microsoft في يوليو 2025 إلى أن مجموعات تابعة للدولة الصينية استغلت ثغرات ToolShell.
ما إجراءات الحماية المطلوبة فوراً؟
قدّمت CISA قائمة واضحة من الإجراءات الدفاعية:
- تطبيق تحديثات Microsoft الأمنية لشهر يوليو 2026 دون تأخير
- التحقق من تفعيل تكامل AMSI (Antimalware Scan Interface) لكل تطبيق ويب في SharePoint
- إجراء عمليات بحث استباقي عن التهديدات (Threat Hunting) للكشف عن علامات الاختراق
- تدوير مفاتيح IIS بعد التأكد من عدم وجود اختراق سابق
- عزل SharePoint عن الإنترنت ما لم يكن الوصول الخارجي ضرورياً
- حجب الوصول الخارجي إلى SharePoint Central Administration
- تطبيق سجلات مراقبة (logging) قوية ومخصصة للكشف عن محاولات الاستغلال
رأي Logicity
SharePoint يبقى هدفاً ثميناً لأنه بوابة إلى "جواهر التاج" في أي مؤسسة — الوثائق الحساسة وسير العمل الداخلية. المؤسسات الخليجية التي تعتمد على SharePoint Server محلياً (شائع في القطاعات الحكومية والمالية لاعتبارات السيادة) تواجه ضغطاً مضاعفاً: تحديث سريع مع الحفاظ على استمرارية العمل. البديل السحابي SharePoint Online (ضمن Microsoft 365) يخفف عبء الترقيع لكنه ليس خياراً للجميع. للمقارنة، حلول إدارة المحتوى المؤسسي مثل OpenText Content Suite أو Hyland OnBase قد تناسب من يبحث عن تنويع المخاطر، لكنها تأتي بتكاليف ترخيص ودمج مرتفعة.
لماذا يجب أن تتعامل مؤسستك مع هذا التحذير كحالة طوارئ؟
إضافة ثغرة إلى قائمة KEV (الثغرات المستغلة المعروفة) لدى CISA ليست مجرد تصنيف تقني — إنها إشارة بأن مهاجمين حقيقيين يستخدمونها الآن في البرية. الوكالات الفيدرالية الأمريكية مُلزمة عادةً بتطبيق إجراءات التخفيف خلال 72 ساعة من إضافة الثغرة للقائمة. وهذا المعيار الزمني، وإن لم يكن ملزماً للقطاع الخاص، يعكس مستوى الإلحاح الحقيقي.
الأسئلة الشائعة
هل تؤثر ثغرات SharePoint هذه على SharePoint Online في Microsoft 365؟
التحذير يخص SharePoint Server المثبّت محلياً (on-premises). SharePoint Online تديره Microsoft وتُحدّثه مركزياً، لكن هذا لا يعني الاطمئنان التام — راجع إعدادات الأمان والصلاحيات في بيئتك السحابية.
كيف أعرف إن كان خادم SharePoint في مؤسستي مخترقاً؟
ابحث عن علامات سرقة مفاتيح IIS، وأنشطة deserialization غير معتادة، وسجلات دخول مشبوهة. CISA توصي بإجراء threat hunting قبل تدوير المفاتيح.
ما الفرق بين ثغرة RCE وثغرة تصعيد الصلاحيات؟
ثغرة RCE (تنفيذ أكواد عن بُعد) تتيح للمهاجم تشغيل أوامر على الخادم من الخارج. ثغرة تصعيد الصلاحيات تتيح لمهاجم دخل بصلاحيات محدودة الحصول على صلاحيات أعلى، كصلاحيات المدير.
هل هناك علاقة بين هذه الثغرات وهجمات برامج الفدية؟
نعم، CISA وثّقت سابقاً استخدام ثغرات SharePoint في سلاسل هجومية انتهت بنشر برنامج الفدية Warlock، ما يجعل التحديث أولوية قصوى.
هل تحتاج مساعدة في التطبيق؟
إذا كنت بحاجة إلى دعم في تقييم وضع SharePoint الأمني في مؤسستك أو تطبيق إجراءات التقوية، تواصل مع فريق Logicity للحصول على توجيه متخصص يناسب بيئتك التقنية.
عمر حسن
كاتب تقني وابتكار
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.
مقالات ذات صلة
المزيد في تكنولوجيا المؤسساتاقرأ أيضاً

زووم تصل إلى 5 مليارات دولار إيرادات متكررة: عودة النمو وتحقيق أرباح فعلية من الذكاء الاصطناعي
أعلنت Zoom عن نتائج الربع الأول من السنة المالية 2027 (المنتهي في 30 أبريل 2026) بإيرادات بلغت 1.239 مليار دولار، محققة نمواً بنسبة 5.5% على أساس سنوي، وهو ما يضع معدل الإيرادات السنوية المتكررة (ARR)






