البرمجة.com

دراسة حالة: استغلال ثغرات SharePoint (ToolShell) — كيف تم التصحيح وكيف تحمي بنيتك

Masked hacker wearing a Guy Fawkes mask operates a computer, symbolizing cyber security threats.

مقدمة: لماذا تهمنا حوادث SharePoint الآن؟

خوادم Microsoft SharePoint على مستوى المؤسسات تُستخدم لإدارة المستندات والتعاون، ولذلك تصبح هدفًا ذا قيمة عالية للمهاجمين. في منتصف 2025 ظهرت حملة استغلال واسعة النطاق لسلسلة ثغرات عُرفت إعلاميًا باسم "ToolShell"، والتي استُخدمت لخلق وصول أولي ثم نشر ويب‌شيل وفرض برامج فدية. تحديثات ويتائج التحقيق أظهرت أن الهجمات أثّرت على مؤسسات حكومية وتجارية وتعليمية حول العالم، وأنها استغلت ثغرات متسلسلة تتضمن تجاوز تحقق مصادقة وتنفيذ كود عن بُعد.

هدف هذه الدراسة: تقديم ملخّص فني غير تفصيلي عن كيفية اكتشاف الهجمات، ملامح سلوك المهاجمين، الإجراءات العاجلة لتصحيح الثغرات، وخطة حماية قابلة للتطبيق للبيئات المحلية (on-premises) التي تستخدم SharePoint.

ملف الثغرات وأساليب الاستغلال (موجز فني)

تضمن حدث 2025 مجموعة من الثغرات المصنفة برقم CVE والتي سمحت بسلسلة هجوم: تجاوز مصادقة، استغلال نقاط تحميل أدوات (ToolPane/ToolShell)، ثم تنفيذ أوامر عبر خوادم الويب ونشر ويب‌شيل باسم شائع مثل spinstall0.aspx. المهاجمون جمعوا مفاتيح MachineKey لاختراق الجلسات واستبدال مكونات IIS لتثبيت حصون دائمة، ثم استُخدمت أدوات لاستخراج بيانات الاعتماد مثل Mimikatz والتحرك الجانبي باستخدام PsExec/WMI. العمليات المرصودة شملت نشر رانسوموير من عائلات مثل "Warlock" في بعض الحالات.

نقاط تقنية بارزة (موجزة)

  • ثغرات تؤثر على إصدارات on‑prem (SharePoint 2016/2019 وSubscription Edition) وليس SharePoint Online.
  • الهجوم يبدأ عادة عبر طلب POST مُصمّم إلى نقاط مثل ToolPane، يتيح تحميل ملف ASPX ضار ثم تنفيذ أوامر عبر عملية w3wp.exe.
  • المهاجمون يسرقون MachineKey وبيانات التهيئة للوصول المُستمر وتجاوز المصادقة.

ملاحظة أمنية مهمة: في هذا المستند نعرض وصفًا عالي المستوى فقط — لن نقدم أمثلة استغلالية قابلة للتنفيذ أو شيفرات برمجية قد تُستخدم للإضرار.

التصحيحات العاجلة والإجراءات الفنية الموصى بها

أول وأهم إجراء: تثبيت تحديثات الأمان الرسمية الصادرة عن Microsoft المخصصة لهذه الثغرات فورًا لجميع الخوادم المتأثرة. Microsoft أصدرت تحديثات طارئة وتوجّهات مفصلة للإصدارات المدعومة، مع توصية بتمكين AMSI وتدوير MachineKey وإعادة تشغيل IIS بعد تطبيق التصحيحات.

قائمة إجرائية فورية (خلال 24-72 ساعة)

  1. تطبيق التحديثات الرسمية (Patch) لجميع خوادم SharePoint المدعوة وتوثيق أرقام البِلد (build).
  2. عزل أي خادم معرض للاختراق وإزالته من الشبكة العامة للتحقيق (isolate).
  3. تدوير MachineKey وقيم ASP.NET machineKey على الخوادم المتأثرة وإعادة تشغيل IIS.
  4. تطبيق أو تفعيل Antimalware Scan Interface (AMSI) ووجود مجموعة دفاع نقطية (Defender أو مضاد فيروسات موثوق).
  5. مسح البحث عن وب‌شيلات (web shells) والملفات الشاذة (مثال: spinstall0.aspx ونسخها) وفحص سجلات الوصول.
  6. تغيير كلمات المرور للمستخدمين الإداريين وتدوير الشهادات والمفاتيح المشفرة المستخدمة في بيئة SharePoint.

تحسينات طويلة الأمد

  • إزالة التعرض العام: منع الوصول المباشر إلى واجهات SharePoint من الإنترنت قدر الإمكان أو نشرها خلف بوابات آمنة (ZTNA/Reverse Proxy مع WAF).
  • تطبيق مبدأ أقل الامتيازات (Least Privilege) ومراجعة أدوار SharePoint بانتظام.
  • تنفيذ مراقبة مُحسّنة: قواعد كشف ويب‌شيل، تتبع نشاط w3wp.exe، ومؤشرات الحركة الجانبية (مثل استخدام PsExec أو اتصالات WMI). استخدم قواعد الكشف الموصى بها من Microsoft وCISA لإثراء SIEM/EDR.
  • اختبارات اختراق داخلية دورية بعد تطبيق التصحيحات للتأكد من فعالية الضوابط وتصحيح الإعدادات الخاطئة.

مؤشرات اختراق وإجراءات استجابة للحوادث (IR)

عند الاشتباه في استغلال SharePoint، اتبع خطوات الاستجابة القياسية: جمع الأدلة (سجلات IIS، سجلات Windows Event، لقطات الذاكرة للمسارات المشبوهة)، عزل الأنظمة المشتبه بها، تنفيذ استعادة من نسخ احتياطية نظيفة، ثم إجراء تحقيق جنائي رقمي. راقب مؤشرات مثل:

  • طلبات HTTP/POST إلى نقاط ToolPane أو تحميل ملفات ASPX غير معروفة.
  • وجود ملفات spinstall*.aspx أو تغييرات غير مبررة على مجلدات _layouts/15.
  • سلوك w3wp.exe يقوم بتنفيذ أوامر نظامية أو اتصالات خروج غير عادية.

جهات مثل CISA وMicrosoft نشرت قواعد واستعلامات متقدمة للبحث (advanced hunting) تخص هذه الحملة — استخدمها كقواعد بداية عند إعداد التحقيق.

نصائح لإعداد التقارير والتواصل

  • أبلغ الأطراف الداخلية وخارجية (فرق الأمن، الإدارة، إن كان ثمة أثر تشريعي أبلغ الجهات التنظيمية حسب المتطلبات المحلية).
  • حفظ السلاسل الزمنية للأحداث (timeline) وتوثيق كل قرار استجابة للتدقيق والتحسين المستقبلي.

خاتمة وقائمة تحقق نهائية

حوادث ToolShell أظهرت أن تعرض خوادم SharePoint للإنترنت يضاعف المخاطر، وأن سلاسل ثغرات صغيرة قد تؤدي للاختراق الكامل ونشر رانسوموير. الاستراتيجية الفعّالة تتضمن: تصحيح سريع، إزالة التعرض العام، تدوير المفاتيح والاعتماديات، تكثيف المراقبة، وتنفيذ عمليات الاستجابة للحوادث المحترفة.

قائمة تحقق سريعة (على مستوى المؤسسة)

الإجراءحالة
تثبيت تحديثات SharePoint الرسمية
عزل الخوادم المشتبه بها
تدوير MachineKey وكلمات السر الادارية
تمكين AMSI وAntivirus/EDR
مسح كامل للويب‌شيلات والملفات المشبوهة

للمزيد من التفاصيل الفنية ونشرات التصحيح، راجع إرشادات Microsoft والتحديثات والإنذارات الصادرة عن CISA ومؤسسات الأمن السيبراني الموثوقة.

مقالات ذات صلة

دورة عملية لاختراق تطبيق ويب (من الاكتشاف إلى الاستغلال) بأسلوب CTF

اختبار اختراق أجهزة إنترنت الأشياء (IoT): منهجية عملية وأدوات متقدمة

التحضير لمنافسات CTF: بناء أدوات تلقائية، كتابة حلول فعّالة، وصياغة تقارير احترافية