مايكروسوفت ترقع ثغرة CVE-2026-45659 لمنع اختراق خوادم SharePoint
"أطلقت مايكروسوفت تحديثات أمنية لمعالجة ثغرة CVE-2026-45659 في منصة SharePoint. تتيح الثغرة للمهاجمين تنفيذ برمجيات خبيثة عن بُعد دون الحاجة لصلاحيات إدارة النظام."
مقدمة تحليلية
سدت شركة مايكروسوفت ثغرة أمنية شديدة الخطورة من نوع 'تنفيذ البرمجيات عن بعد' (Remote Code Execution - RCE) تحمل المعرّف CVE-2026-45659، والتي تستهدف منصة العمل التعاوني الشهيرة للمؤسسات Microsoft SharePoint. الثغرة التي تم تقييمها بدرجة خطورة 8.8 وفقاً لمقياس المخاطر العام (CVSS v3)، تصنفها الشركة بأنها ذات أهمية بالغة، نظراً لأن استغلالها لا يتطلب وجود ظروف خاصة أو معقدة في بيئة الهدف، مما يفتح الباب أمام المهاجمين للوصول غير المصرح به إلى الشبكات الداخلية للشركات الكبرى.
يكمن التهديد الحقيقي في هذه الثغرة في قدرة أي مستخدم يمتلك الحد الأدنى من صلاحيات الوصول (أعضاء الموقع أو Site Members) على استغلالها دون الحاجة لصلاحيات مدير النظام (Administrator). هذا يغير معادلة التهديد الأمني داخل الشبكات المؤسسية، حيث لم يعد الاختراق يتطلب الاستيلاء على حسابات رفيعة المستوى، بل يكفي المهاجم الوصول إلى حساب موظف عادي لتنفيذ هجوم شبكي واسع النطاق يطال الخادم المركزي للمنصة.
على الرغم من أن مايكروسوفت أشارت في تقييمها الأولي إلى أن احتمالية استغلال هذه الثغرة في الوقت الحالي تعد منخفضة نسبياً، إلا أن الخبراء الأمنيين يحذرون من التراخي في تطبيق الرقع البرمجية. تاريخياً، شكلت خوادم SharePoint صيداً ثميناً لمجموعات التهديد المتقدمة المستمرة (APTs) نظراً لحجم البيانات الحساسة المخزنة عليها وموقعها الاستراتيجي داخل البنية التحتية للمؤسسات.
التحليل التقني
تندرج الثغرة CVE-2026-45659 تحت فئة عيوب 'إلغاء تسلسل البيانات غير الموثوقة' (Deserialization of untrusted data). في هندسة البرمجيات، تُسخدم عملية التسلسل (Serialization) لتحويل هياكل البيانات المعقدة أو الكائنات البرمجية إلى تنسيق يسهل نقله أو تخزينه، بينما تقوم عملية إلغاء التسلسل (Deserialization) بإعادة بناء هذه الكائنات في الذاكرة لتستخدمها منصة SharePoint. عندما لا تقوم المنصة بالتحقق من سلامة ومصدر هذه البيانات قبل معالجتها، يمكن للمهاجم صياغة كائنات خبيثة تؤدي إلى تنفيذ أوامر برمجية عشوائية مباشرة على الخادم عند فك تسلسلها.
وفيما يلي تفصيل للمحددات التقنية الخاصة بهذه الثغرة:
- معرف الثغرة: CVE-2026-45659
- درجة الخطورة (CVSS): 8.8 (تصنيف 'هام' / Important)
- ناقل الهجوم (Attack Vector): شبكي (Network)
- الامتيازات المطلوبة (Privileges Required): منخفضة (PR:L)، وتحديداً صلاحيات عضو الموقع (Site Member)
- تفاعل المستخدم (User Interaction): لا يتطلب أي تفاعل من المستخدم المستهدف
- الباحث المكتشف: تم اكتشاف الثغرة والإبلاغ عنها بواسطة الباحث الأمني المعروف باسم MEOW
وقد قامت مايكروسوفت بطرح حزم تحديثات مخصصة لكافة خوادم SharePoint المتأثرة. ونظراً لعدم توفر تفاصيل أرقام البناء الدقيقة (Build Numbers) لكل إصدار في التقرير الأصلي (بيانات تفصيلية لنسخ البناء غير متوفرة في المصدر)، يُنصح مسؤولو الأنظمة بالرجوع إلى دليل التحديثات الأمنية الرسمي من مايكروسوفت لتنزيل الرزم المناسبة لبيئاتهم.
بالتوازي مع ذلك، يجدر بالذكر أن منصة SharePoint عانت مؤخراً من ثغرة أخرى تم سدها الشهر الماضي تحمل المعرّف CVE-2026-32201، وهي ثغرة انتحال شخصية (Spoofing) بدرجة خطورة 6.5. وعلى عكس الثغرة الحالية، أكدت التقارير الأمنية أن تلك الثغرة جرى استغلالها بنشاط في الهجمات الحقيقية (Exploited in the wild)، مما يبرز الاهتمام المتزايد من قبل المخترقين باستغلال أي ثغرة في حلول مايكروسوفت المؤسسية لربطها ببعضها في سلسلة هجمات معقدة.
السياق وتأثير السوق
تعد خوادم SharePoint العمود الفقري لإدارة المستندات والتعاون الداخلي في معظم الشركات المدرجة في قائمة Fortune 500 والمؤسسات الحكومية حول العالم. هذا الاعتماد الواسع يجعل أي ثغرة أمنية فيها بمثابة تهديد للأمن القومي والاقتصادي. عندما تظهر ثغرة RCE تمنح المهاجم القدرة على تشغيل تعليمات برمجية بصلاحيات الخادم، فإن ذلك لا يعني فقط سرقة البيانات المخزنة، بل قد يتيح للمهاجم التحرك أفقياً (Lateral Movement) داخل شبكة المؤسسة بأكملها للوصول إلى أنظمة التحكم بالنطاق (Active Directory) وقواعد البيانات الحيوية.
إن مقارنة ثغرة CVE-2026-45659 بالثغرات السابقة التي ضربت المنصة تظهر نمطاً متكرراً؛ حيث تميل مجموعات التجسس السيبراني المدعومة من دول إلى تجميع ثغرات الوصول المنخفض (مثل هذه الثغرة التي تتطلب صلاحيات Site Member فقط) واستخدامها بعد الحصول على بيانات اعتماد أولية من خلال حملات التصيد الاحتيالي (Phishing) أو تسريبات البيانات السابقة. سوق الأمن السيبراني اليوم يشهد طلباً هائلاً على ثغرات الـ RCE الخاصة بمنتجات مايكروسوفت، وتداول مثل هذه الثغرات في السوق السوداء قد يصل إلى مئات الآلاف من الدولارات قبل رقعها، مما يوضح حجم الدافع المادي والجيوسياسي وراء استغلالها.
رؤية Glitch4Techs
من وجهة نظرنا التحليلية في Glitch4Techs، نرى أن تصنيف مايكروسوفت لهذه الثغرة بأنها 'أقل احتمالاً للاستغلال' (Less likely to be exploited) قد يمنح مسؤولي تكنولوجيا المعلومات شعوراً زائفاً بالأمان، وهو خطأ استراتيجي فادح. في البيئات المؤسسية المعاصرة، لم يعد الحصول على صلاحيات 'عضو موقع' (Site Member) يمثل عقبة أمام المهاجمين. مع انتشار هجمات هندسة الاجتماع، وسرقة الجلسات (Session Hijacking)، واستخدام أدوات مثل Evilginx لتجاوز المصادقة الثنائية (MFA)، فإن اختراق حساب موظف عادي هو مسألة وقت فقط. بمجرد دخول المهاجم كعضو موقع، تصبح ثغرة CVE-2026-45659 بمثابة مصعد سريع للوصول إلى مستوى السيطرة على الخادم بالكامل.
لذلك، نوصي باتخاذ التدابير التالية فوراً:
أولاً، يجب ألا تقتصر استراتيجية الدفاع على الرقع البرمجية فقط؛ بل يجب تفعيل مراقبة سلوكية دقيقة لعمليات إلغاء التسلسل (Deserialization Logging) على خوادم SharePoint للكشف عن أي سلوكيات غير معتادة لإنشاء العمليات البرمجية (Process Creation).
ثانياً، ينبغي تطبيق مبدأ الصلاحيات الأقل (Least Privilege) بصرامة، وتقييد قدرة الحسابات العادية على التفاعل مع ميزات SharePoint المتقدمة التي قد تستغل لتمرير الكائنات البرمجية الخبيثة.
ثالثاً، نقدر جهود الباحث الأمني MEOW في الكشف المسؤول عن الثغرة، ولكن نذكر بأن الكشف عنها يعني أن تفاصيلها أصبحت تحت مجهر غرف الأبحاث الهجومية لمجموعات الفدية وتطوير برمجيات الاستغلال (Exploits)، مما يجعل نافذة تطبيق التحديثات ضيقة جداً ولا تتعدى أياماً قليلة قبل بدء رصد محاولات استغلالها في البرية.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.