ثغرة SharePoint الحرجة CVE-2026-20963 تُستغل فعلياً: تحذير عاجل للمؤسسات المالية

في 18 مارس 2026، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة CVE-2026-20963 في Microsoft SharePoint Server إلى قائمتها الرسمية للثغرات المستغلة فعلياً (KEV). هذه الثغرة تحمل تقييم خطورة 9.8 من 10 على مقياس CVSS، وتسمح لمهاجم غير مصادَق بتنفيذ أوامر برمجية عن بُعد على خوادم SharePoint — مما يجعلها تهديداً مباشراً لكل مؤسسة مالية سعودية تعتمد على هذه المنصة لإدارة مستنداتها وعملياتها الداخلية.

تفاصيل الثغرة الفنية: Deserialization of Untrusted Data

تكمن الثغرة في خلل في معالجة البيانات المُسلسَلة (Deserialization) داخل SharePoint Server، حيث يقبل النظام بيانات غير موثوقة من مصادر خارجية دون التحقق الكافي من سلامتها. يستطيع المهاجم استغلال هذا الخلل عبر إرسال طلبات شبكية مُصممة خصيصاً لحقن شيفرة خبيثة وتنفيذها على الخادم المستهدف. الأخطر في هذه الثغرة أنها لا تتطلب أي مصادقة مسبقة ولا تفاعل من المستخدم، مما يعني أن أي خادم SharePoint مكشوف للإنترنت — أو حتى داخل الشبكة الداخلية — يمكن اختراقه عن بُعد بهجوم منخفض التعقيد.

الإصدارات المتأثرة تشمل: Microsoft SharePoint Server Subscription Edition، وSharePoint Server 2019، وSharePoint Enterprise Server 2016. وقد أصدرت Microsoft تحديثاً أمنياً (KB5002822) في 13 يناير 2026 لمعالجة الثغرة، لكن كثيراً من المؤسسات لم تطبّق التحديث بعد، وهو ما استغلّه المهاجمون فعلياً بعد شهرين من إصدار الإصلاح.

لماذا هذه الثغرة أخطر مما تبدو؟

SharePoint ليس مجرد نظام لإدارة المستندات — في القطاع المالي السعودي، يُستخدم كمنصة محورية لأتمتة سير العمل، وتخزين سياسات الحوكمة، وأرشفة التقارير التنظيمية، ومشاركة البيانات الحساسة بين الإدارات. اختراق خادم SharePoint يعني وصول المهاجم إلى عقود العملاء، وتقارير التدقيق الداخلي، ووثائق الامتثال، وربما بيانات مالية سرية. نمط الاستغلال الحالي يشير إلى استخدام الثغرة كنقطة دخول أولية (Initial Access) تتبعها حركة جانبية (Lateral Movement) داخل الشبكة، وصولاً إلى سرقة بيانات أو نشر برمجيات فدية (Ransomware).

ما يزيد الأمر خطورة أن الفارق الزمني بين نشر التحديثات الأمنية وبدء الاستغلال الفعلي يتقلص بشكل متسارع. في 2018 كان متوسط الوقت بين كشف الثغرة واستغلالها 771 يوماً، أما اليوم فقد تقلّص إلى ساعات معدودة. ثغرة Langflow الأخيرة (CVE-2026-33017) استُغلت خلال 20 ساعة فقط من نشر التحذير الرسمي.

التأثير المباشر على المؤسسات المالية السعودية

وفق إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSCC)، تُلزم المتطلبات المؤسسات المالية بتطبيق عملية منهجية لإدارة الثغرات الأمنية تشمل: الاكتشاف، والتقييم، والمعالجة ضمن أطر زمنية محددة حسب مستوى الخطورة. ثغرة بتقييم 9.8 CVSS تُصنّف حرجة وتتطلب معالجة فورية — التأخر في التحديث يُعد مخالفة مباشرة لمتطلبات SAMA وقد يؤدي إلى ملاحظات جوهرية في تقارير التدقيق الدوري.

كذلك يتطلب إطار الضوابط الأساسية للأمن السيبراني (NCA ECC) من الجهات الوطنية — بما فيها المؤسسات المالية — تطبيق إدارة فعّالة للتصحيحات الأمنية (Patch Management) والاستجابة الفورية للثغرات المستغلة. أما نظام حماية البيانات الشخصية (PDPL) فيُلزم المؤسسات بحماية البيانات الشخصية بإجراءات تقنية وتنظيمية مناسبة — واختراق SharePoint الذي يحتوي بيانات عملاء ومعلومات مالية قد يُشكّل انتهاكاً صريحاً للنظام.

خطوات الحماية والاستجابة الفورية

1. تطبيق التحديث الأمني KB5002822 فوراً على جميع خوادم SharePoint المتأثرة. إذا كان التحديث قد صدر منذ يناير ولم يُطبّق بعد، فهذا يعني أن نافذة التعرض مفتوحة منذ أكثر من شهرين.
2. جرد جميع خوادم SharePoint في البنية التحتية وتحديد الإصدارات المشغَّلة ومستوى التحديثات المطبّقة، مع التركيز على الخوادم المتصلة بالإنترنت أو المكشوفة عبر VPN.
3. فحص سجلات الوصول (Access Logs) وسجلات IIS على خوادم SharePoint بحثاً عن طلبات HTTP مشبوهة، خاصة الطلبات التي تحتوي بيانات مُسلسَلة غير اعتيادية أو محاولات وصول من عناوين IP غير معروفة.
4. تفعيل قواعد كشف محددة في أنظمة IDS/IPS وEDR للكشف عن محاولات استغلال ثغرات Deserialization، وربط هذه القواعد بمؤشرات الاختراق (IOCs) المنشورة من CISA وMicrosoft.
5. عزل خوادم SharePoint غير المحدّثة عن الشبكة الرئيسية حتى تطبيق التحديث، مع تقييد الوصول إليها عبر قوائم التحكم في الوصول (ACLs) لتقليل سطح الهجوم.
6. إجراء تقييم اختراق مستهدف (Targeted Penetration Test) على بيئة SharePoint للتأكد من عدم وجود اختراق سابق، مع فحص مؤشرات الاختراق مثل الحسابات الجديدة غير المعروفة، والملفات المشبوهة، والاتصالات الصادرة غير الاعتيادية.
7. مراجعة عملية إدارة التصحيحات (Patch Management Process) لضمان تطبيق التحديثات الحرجة خلال 72 ساعة كحد أقصى، بما يتوافق مع متطلبات SAMA CSCC وNCA ECC.

الخلاصة

ثغرة CVE-2026-20963 ليست مجرد خبر أمني عابر — إنها تذكير صارخ بأن تأخير التحديثات الأمنية لم يعد خياراً مقبولاً. المهاجمون يتحركون بسرعة غير مسبوقة، والفارق بين المؤسسة الآمنة والمؤسسة المخترقة قد لا يتجاوز أياماً معدودة. المؤسسات المالية السعودية التي تعتمد على SharePoint بحاجة إلى التحرك فوراً: تحديث الأنظمة، ومراجعة السجلات، والتأكد من أن عمليات إدارة الثغرات تعمل بالسرعة التي يتطلبها مشهد التهديدات الحالي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة عمليات إدارة الثغرات واختبار اختراق مستهدف لبيئة SharePoint.