تحذير أمني: ثغرة ASPX الحرجة في SharePoint تهدد مؤسستك

عشرات المؤسسات الحكومية والخاصة حول العالم وجدت نفسها أمام حقيقة صادمة: مهاجمون يتحركون بحرية داخل شبكاتها دون أن يعلم أحد بوجودهم. البوابة؟ ثغرة في Microsoft SharePoint سمحت بتحميل ملفات ASPX خبيثة تُنفِّذ أوامر على الخادم دون الحاجة إلى أي بيانات دخول. هذا ليس سيناريو افتراضي — بل هجوم موثَّق استهدف بنى تحتية حقيقية.

في هذا التقرير، نستعرض آلية عمل هذه الثغرة، وكيف كشفتها التحقيقات الجنائية الرقمية، وما هي مؤشرات الاختراق التي يجب أن يبحث عنها فريق الأمن لديك، وأهم الخطوات الوقائية الواجب اتخاذها اليوم.

ما هي ثغرة ASPX في SharePoint؟

تُعدّ الثغرة المعروفة بـ CVE-2024-38094 من أخطر الثغرات التي استهدفت Microsoft SharePoint Server في السنوات الأخيرة. صنّفها مركز الاستجابة الأمنية لمايكروسوفت بدرجة خطورة «حرجة» (Critical) بنقاط CVSS تجاوزت 7.2. يمكن الاطلاع على التفاصيل التقنية الكاملة على بوابة الثغرات الرسمية لمايكروسوفت.

الثغرة في جوهرها تُتيح لمهاجم يملك صلاحيات منخفضة نسبيًا داخل بيئة SharePoint — أو حتى بدون مصادقة في بعض الإصدارات — رفعَ ملف ASPX (صفحة خادم تعمل بإطار ASP.NET) إلى الخادم وتشغيله كما لو كان برنامجًا شرعيًا. هذا الملف الخبيث يُعرف بـ «Web Shell»، وهو بوابة خلفية تمنح المهاجم سيطرةً كاملة على الخادم عن بُعد.

كيف استُغلت هذه الثغرة؟

آلية الهجوم خطوة بخطوة

تبدأ الهجمات عادةً بمرحلة الاستطلاع، حيث يُحدِّد المهاجمون مواقع SharePoint المكشوفة على الإنترنت باستخدام أدوات المسح الآلي. بعد تحديد الهدف، يستغلون الثغرة لرفع ملف ASPX خبيث إلى مسار كـ /layouts/ أو /_vti_bin/ داخل SharePoint — وهي مسارات يثق بها الخادم بطبيعته.

بمجرد تثبيت الـ Web Shell، يستطيع المهاجم تنفيذ أوامر PowerShell وإدارة الملفات وحذفها وتعديلها واستخراج البيانات الحساسة والتنقل الجانبي داخل الشبكة للوصول إلى أنظمة أخرى. والأخطر أن هذه الاتصالات تبدو للمراقبين كحركة مرور شرعية نابعة من تطبيق ويب موثوق.

من وراء هذه الهجمات؟

وثّقت تقارير عدة جهات استخباراتية من بينها وكالة الأمن السيبراني الأمريكية (CISA) أن جماعات التهديد المتقدم المستمر (APT) استغلت ثغرات SharePoint بشكل ممنهج، ولا سيما الجهات المرتبطة بدول تسعى للتجسس الصناعي والحكومي. استُهدفت قطاعات الدفاع والطاقة والخدمات الحكومية والمالية بشكل خاص.

أصدرت CISA تحذيرات رسمية حثّت فيها المؤسسات على إعطاء أولوية قصوى لترقيع ثغرات SharePoint. يمكن الاطلاع على أحدث التحذيرات على بوابة CISA الرسمية للتحذيرات الأمنية.

المؤسسات المتضررة: أرقام صادمة

وفقًا لتقارير شركات الاستجابة للحوادث الكبرى كـ Mandiant وCrowdStrike، استُغلت ثغرات SharePoint لاختراق أكثر من 75 مؤسسة حكومية وخاصة في ضربات موجّهة خلال فترات متقاربة. تتوزع هذه المؤسسات عبر أمريكا الشمالية وأوروبا وآسيا، مما يؤكد الطابع العالمي للتهديد.

ما يُقلق في هذه الحوادث ليس فقط عددها، بل متوسط وقت الاكتشاف الذي تجاوز في بعض الحالات 200 يوم — أي أن المهاجمين أمضوا أكثر من ستة أشهر في شبكات ضحاياهم قبل أن يُكتشف أمرهم. هذا يعني أن كميات هائلة من البيانات سُرِّبت وعمليات استخباراتية واسعة جرت في الخفاء.

مؤشرات الاختراق (Indicators of Compromise — IoCs)

المؤشرات التالية لا تُعدّ دليلًا قاطعًا على الاختراق بمفردها، لكن تزامن عدد منها يستوجب التحقيق الفوري:

العلامات التقنية التي يجب مراقبتها

• وجود ملفات ASPX غير مألوفة في مجلدات /_layouts/ أو /_vti_bin/ أو /App_Data/

• سجلات IIS تُظهر طلبات POST متكررة لملفات ASPX في مسارات غير اعتيادية

• عمليات تشغيل PowerShell أو cmd.exe تنبثق من عملية w3wp.exe الخاصة بخادم IIS

• نشاط شبكي خارجي غير مألوف صادر من خادم SharePoint في ساعات ليلية

• حسابات مستخدمين بصلاحيات مرتفعة نُشئت في وقت قصير

• ملفات سجلات (logs) مفقودة أو مُعدَّلة بشكل مشبوه

• وجود أدوات مثل Mimikatz أو Cobalt Strike Beacon في الخادم

كيف تتحقق من تعرض بيئتك للخطر؟

ابدأ بفحص ULS Logs (Unified Logging Service) الخاصة بـ SharePoint بحثًا عن أخطاء غير مألوفة مرتبطة برفع الملفات. بعدها، قارن قوائم الملفات الحالية في المجلدات الحساسة بنسخة احتياطية موثوقة للكشف عن أي إضافات غير مصرح بها. استخدم أدوات مثل Sysinternals Process Monitor لمراقبة العمليات الصادرة عن IIS، وفعّل قاعدة SIGMA Rules المخصصة للكشف عن Web Shells على SharePoint.

خطوات الحماية العاجلة

التحديثات الأمنية الفورية — الأولوية القصوى

الخطوة الأولى والأكثر إلحاحًا: تطبيق التحديث الأمني الذي أصدرته مايكروسوفت لمعالجة CVE-2024-38094 وما تلاها من ثغرات. يجب مراجعة صفحة تحديثات SharePoint على مركز تحديثات مايكروسوفت والتأكد من تطبيق جميع التصحيحات الأمنية (Security Patches) المتاحة.

لمن يعتمد SharePoint Online (Microsoft 365)، فإن مايكروسوفت تُطبّق التحديثات تلقائيًا في الغالب — لكن ينبغي التحقق من إعدادات التحديث والتأكد من عدم وجود سياسات تأخير التحديث. أما SharePoint Server المثبَّت داخليًا (On-Premises) فهو المعرَّض للخطر الأكبر ويستلزم تدخلًا يدويًا فوريًا.

تعزيز المراقبة والرصد

بعد التحديث، شدِّد إعدادات صلاحيات رفع الملفات في SharePoint بحيث لا يستطيع سوى المديرين المعتمدين رفع ملفات بامتدادات تنفيذية كـ ASPX وASAX وDLL. فعّل تسجيل التدقيق الشامل (Full Audit Logging) وأرسل السجلات إلى نظام SIEM مركزي للتحليل الفوري.

طبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) على جميع حسابات خدمات SharePoint. ودرِّب فريق الاستجابة للحوادث على بروتوكول خاص بثغرات Web Shell تتضمن: العزل الفوري، وجمع الأدلة الجنائية، والإشعار الرسمي لهيئة الأمن السيبراني الوطنية وفق الإطار التنظيمي المعمول به.

دور التوعية الأمنية في الحد من هذه الهجمات

قد يتساءل البعض: ما علاقة التوعية الأمنية بثغرة تقنية في خادم؟ الإجابة أعمق مما يبدو. الإحصاءات تُظهر أن أغلب حالات استغلال ثغرات SharePoint تبدأ بمرحلة استطلاع تعتمد على التصيد الاحتيالي لانتزاع بيانات دخول تُمنح لاحقًا لاستغلال الثغرة. موظف مُدرَّب يُدرك مخاطر التصيد ويعلم كيف يتعامل مع الروابط والمرفقات المشبوهة يُغلق هذا الباب قبل فتحه.

علاوةً على ذلك، مديرو تقنية المعلومات المُدرَّبون على الأطر الأمنية مثل NCA وNIST يُطبّقون بروتوكولات التحديث والمراقبة باستمرار — وهو ما كان سيمنع كثيرًا من الاختراقات الموثَّقة لو طُبِّق مسبقًا. الثقافة الأمنية هي الطبقة الأولى من الدفاع التي تجعل بقية الطبقات فعّالة.

الخلاصة

ثغرة ASPX في SharePoint تُعيدنا إلى حقيقة لا تتغير في عالم الأمن السيبراني: المهاجمون يتحركون بسرعة، والثغرات تُستغل خلال أيام أو أسابيع من اكتشافها، بينما كثير من المؤسسات لا تزال تنتظر دورة التحديث الربع سنوية. الفجوة بين سرعة المهاجمين وسرعة المدافعين هي المساحة التي تُسرق فيها البيانات.

الإجراءات العاجلة واضحة: رَقِّع، راقِب، دَرِّب. لا يكفي فعل واحد منها — بل تتكامل الثلاثة لتُشكِّل دفاعًا متعدد الطبقات يجعل تكلفة الاختراق على المهاجم أعلى من عائده. وهذه بالضبط الفلسفة التي تقوم عليها مقاربة CyberX في بناء الوعي الأمني المؤسسي.