CVE-2026-32201: ثغرة SharePoint الصفرية المُستغلة تهدد بنوك SAMA

أكدت Microsoft الاستغلال الفعلي لثغرة CVE-2026-32201 في SharePoint Server، وهي ثغرة انتحال (Spoofing) صفرية لا تتطلب مصادقة ولا تفاعل مستخدم. مع وجود أكثر من 1,300 خادم مكشوف على الإنترنت لم يُرقَّع بعد، تواجه المؤسسات المالية السعودية التي تعتمد SharePoint كمنصة تعاون داخلي خطراً تشغيلياً وتنظيمياً مباشراً.

تشريح ثغرة الانتحال CVE-2026-32201

تنشأ الثغرة من فشل في التحقق من صحة المدخلات داخل واجهات SharePoint الخاصة بعرض المحتوى. يستغل المهاجم هذا الخلل ليصنع روابط وصفحات تبدو صادرة من ثقة داخلية، فيظهر للمستخدم أن المستند أو التنبيه أو نموذج الموافقة جاء من مدير الإدارة المالية أو من فريق الامتثال، بينما هو في الحقيقة محتوى منتحل. درجة الخطورة CVSS تبلغ 6.5، لكنها تخفي الأثر التشغيلي الحقيقي: استغلال غير موثّق، دون امتيازات مسبقة، وعن بُعد عبر HTTP/HTTPS.

أُدرجت الثغرة في كتالوج CISA للثغرات المستغلة المعروفة (KEV) بعد رصد حملات نشطة تستهدف منصات الإنتاجية المؤسسية في القطاع المالي. النسخ المتأثرة تشمل SharePoint Enterprise Server 2016 و SharePoint Server 2019 و SharePoint Server Subscription Edition — وهي البيئات الأكثر شيوعاً في مراكز البيانات الداخلية للبنوك السعودية التي لم تنتقل بعد إلى Microsoft 365 السحابي.

لماذا الانتحال أخطر من RCE في السياق المصرفي

قد يبدو هجوم الانتحال أقل خطورة من تنفيذ التعليمات البرمجية عن بُعد، لكنه في الواقع يفتح باباً مثالياً لهجمات الهندسة الاجتماعية الموجهة (Spear Phishing). يستطيع المهاجم نشر روابط داخلية تبدو من SharePoint البنك تطالب بإعادة المصادقة على Azure AD، فيلتقط بيانات اعتماد مدير العمليات أو موظف الخزينة. هذه البيانات تُستخدم لاحقاً للوصول إلى بوابات الدفع وأنظمة SWIFT والتحويلات الدولية.

الأخطر أن SharePoint في معظم البنوك السعودية يستضيف وثائق حساسة: سياسات إدارة المخاطر، سجلات لجان الامتثال، ملفات KYC، ومسودات التقارير المُقدَّمة لمؤسسة النقد العربي السعودي. انتحال موثوق داخل هذه البيئة قد يدفع موظفاً للتوقيع الإلكتروني على وثيقة مزوّرة أو الموافقة على معاملة احتيالية باعتقاد أنها موافقة داخلية.

التأثير على المؤسسات المالية السعودية وضوابط SAMA CSCC

تفرض ضوابط الأمن السيبراني للبنك المركزي السعودي (SAMA CSCC) في الضابط 3.3.5 إدارة الثغرات، والضابط 3.3.6 إدارة التصحيحات، والضابط 3.3.10 الأمان التشغيلي بما فيه حماية تطبيقات التعاون. عدم تطبيق التحديث الأمني الذي أصدرته Microsoft خلال 30 يوماً من الإفصاح يُعد إخفاقاً مباشراً قابلاً للاكتشاف في أي تدقيق SAMA. كذلك يتقاطع المتطلب مع NCA ECC الضابط 2-10-1 الخاص بإدارة الثغرات الحرجة، ومع PCI-DSS v4.0 المتطلب 6.3.3 لحدود الترقيع.

إذا تسرّبت بيانات شخصية لعملاء عبر هذا الانتحال، فإن نظام حماية البيانات الشخصية السعودي (PDPL) يُلزم البنك بالإبلاغ خلال 72 ساعة، مع غرامات قد تصل إلى 5 ملايين ريال لكل مخالفة جسيمة. الانتحال هنا ليس مجرد خطأ تقني، بل حادثة قابلة للإفصاح التنظيمي.

التوصيات والخطوات العملية للاستجابة

1. تطبيق تحديث Microsoft Patch Tuesday لشهر أبريل 2026 على جميع خوادم SharePoint الإنتاجية وبيئات الاختبار خلال 72 ساعة من قراءة هذا المقال.
2. تشغيل فحص Defender for Endpoint أو CrowdStrike Falcon بحثاً عن مؤشرات الاستغلال، مع تركيز خاص على سجلات IIS الخاصة بـ SharePoint بحثاً عن طلبات POST شاذة على نقاط /_layouts/15/.
3. تفعيل Web Application Firewall (مثل Azure WAF أو F5) أمام بوابات SharePoint مع قواعد تمنع رؤوس HTTP المشبوهة المرتبطة بالحملة المرصودة.
4. مراجعة سجلات Microsoft 365 و Azure AD Sign-In logs بحثاً عن جلسات مصادقة مشبوهة من عناوين IP خارج المملكة خلال الأسبوعين الماضيين.
5. تنفيذ حملة توعية سريعة لموظفي الإدارات المالية والامتثال حول التحقق من روابط SharePoint الداخلية قبل إدخال بيانات الاعتماد.
6. إجراء اختبار اختراق موجَّه (Targeted Penetration Test) على بوابات التعاون لقياس مدى النضج بعد الترقيع وتوثيقه ضمن ملف SAMA CSCC السنوي.

الخلاصة

ثغرة CVE-2026-32201 تذكير بأن منصات الإنتاجية الداخلية ليست أهدافاً ثانوية، بل بوابة أولى لهجمات الاحتيال المالي والاختراق العميق. السرعة في الترقيع والمراجعة هي الفارق بين حادثة محتواة وحادثة قابلة للإفصاح التنظيمي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.