ثغرة SharePoint CVE-2026-32201: انتحال هوية بدون مصادقة يهدد 1,300 خادم حول العالم

كشفت Microsoft عن ثغرة يوم صفر حرجة في منصة SharePoint Server تحمل الرمز CVE-2026-32201، تتيح لمهاجم غير مصادق انتحال هوية المستخدمين والوصول إلى بيانات حساسة وتعديلها عبر الشبكة. الأخطر من ذلك أن أكثر من 1,300 خادم SharePoint حول العالم لا يزال مكشوفاً دون ترقيع، رغم إصدار التحديث الأمني وإدراج الثغرة في قائمة CISA للثغرات المستغلة فعلياً (KEV).

تفاصيل ثغرة CVE-2026-32201 في SharePoint

تنتمي هذه الثغرة إلى فئة Spoofing وتنتج عن خلل في التحقق من المدخلات (Improper Input Validation) داخل Microsoft Office SharePoint. حصلت على تصنيف CVSS 6.5 من Microsoft بدرجة خطورة "مهمة" (Important)، لكن ما يجعلها استثنائية الخطورة هو أنها لا تتطلب أي مصادقة من المهاجم، ولا تحتاج تفاعلاً من المستخدم الضحية، ولا تشترط ظروفاً خاصة للاستغلال. هذا الثلاثي يعني أن أي خادم SharePoint مكشوف على الإنترنت يمثل هدفاً مباشراً.

تتأثر بالثغرة ثلاث نسخ رئيسية: SharePoint Enterprise Server 2016، وSharePoint Server 2019، وSharePoint Server Subscription Edition. يستطيع المهاجم من خلال الاستغلال الناجح انتحال هوية مستخدمين شرعيين، والوصول إلى مستندات ومعلومات حساسة، وتعديل محتوى المواقع والمكتبات دون أي صلاحيات مسبقة.

استغلال نشط و1,300 خادم مكشوف

أكدت Microsoft أن الثغرة تُستغل بشكل نشط في هجمات حقيقية (zero-day exploitation)، وأضافتها وكالة CISA الأمريكية إلى قائمة الثغرات المستغلة المعروفة (KEV) مع إلزام الوكالات الفيدرالية بالترقيع قبل 28 أبريل 2026. رغم ذلك، تشير تقارير BleepingComputer إلى أن أكثر من 1,300 خادم SharePoint لا يزال مكشوفاً على الإنترنت دون تطبيق التحديث، مع ترقيع أقل من 200 نظام فقط منذ إصدار التحديث الأمني.

لم تُكشف حتى الآن هوية الجهات المهاجمة أو دوافعها، لكن طبيعة الثغرة التي لا تتطلب مصادقة تجعلها مغرية لمجموعات التجسس الإلكتروني ومجموعات الفدية على حد سواء. منصة SharePoint تُستخدم على نطاق واسع لتخزين مستندات الأعمال الحساسة، مما يجعل الوصول غير المصرح إليها بمثابة منجم ذهب للمهاجمين.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد غالبية البنوك وشركات التأمين والمؤسسات المالية في المملكة العربية السعودية على Microsoft SharePoint كمنصة رئيسية لإدارة المستندات والتعاون الداخلي. تحتوي هذه المنصات عادةً على سياسات ائتمانية، وتقارير مالية داخلية، ووثائق امتثال تنظيمي، ومحاضر اجتماعات مجالس الإدارة، وبيانات عملاء تخضع لنظام حماية البيانات الشخصية (PDPL).

استغلال هذه الثغرة في بيئة بنك سعودي يعني إمكانية انتحال هوية موظف مصرح له والوصول إلى مكتبات المستندات الحساسة دون أي إنذار من أنظمة المراقبة التقليدية. يشكل ذلك انتهاكاً مباشراً لعدة ضوابط في إطار SAMA CSCC، خاصةً ضوابط إدارة الثغرات (Vulnerability Management)، وضوابط التحكم في الوصول (Access Control)، وضوابط حماية البيانات. كما يتعارض مع متطلبات الضوابط الأساسية للأمن السيبراني (NCA ECC) المتعلقة بتحديث الأنظمة وإدارة التصحيحات.

لماذا يتأخر الترقيع رغم خطورة الثغرة؟

يعود تأخر المؤسسات في تطبيق التحديث إلى عدة عوامل تقنية وتشغيلية. أولاً، خوادم SharePoint غالباً ما تكون مدمجة بعمق في بيئة العمل مع تخصيصات كثيرة، مما يجعل التحديث محفوفاً بمخاطر تعطل الخدمة. ثانياً، تتطلب بعض المؤسسات دورات اختبار طويلة قبل تطبيق أي تحديث على بيئة الإنتاج. ثالثاً، لا تزال بعض المؤسسات تشغل نسخاً قديمة من SharePoint 2016 دون خطط واضحة للترقية.

لكن في سياق ثغرة مُستغلة فعلياً ولا تتطلب مصادقة، فإن أي تأخير في الترقيع يُعد مخاطرة غير مقبولة، خاصة للمؤسسات المالية الخاضعة لرقابة SAMA التي تُلزمها الأطر التنظيمية بتطبيق التحديثات الأمنية الحرجة ضمن أطر زمنية محددة.

التوصيات والخطوات العملية

1. تطبيق التحديث الأمني فوراً: راجع نشرة Microsoft الأمنية لشهر أبريل 2026 وطبّق التصحيح على جميع نسخ SharePoint المتأثرة (2016, 2019, Subscription Edition) دون تأخير. إذا تعذر التحديث الفوري، طبّق الإجراءات التخفيفية المؤقتة.
2. تقييد الوصول الخارجي: تأكد من أن خوادم SharePoint غير مكشوفة مباشرة على الإنترنت. استخدم reverse proxy أو WAF مع قواعد مخصصة لحظر أنماط الاستغلال المعروفة. راجع قواعد الجدار الناري لتقييد الوصول على عناوين IP الموثوقة فقط.
3. مراجعة سجلات الوصول: افحص سجلات IIS وSharePoint ULS Logs بحثاً عن أنماط وصول غير اعتيادية، خاصة طلبات من عناوين IP خارجية إلى واجهات المصادقة. ابحث عن محاولات انتحال هوية أو وصول لمستندات حساسة من جلسات غير مألوفة.
4. تفعيل المراقبة المتقدمة: أضف قواعد كشف مخصصة في حلول SIEM/SOC لمراقبة أنشطة SharePoint المشبوهة. فعّل تنبيهات على عمليات الوصول الجماعي للمستندات أو تعديل الصلاحيات من جلسات جديدة.
5. جرد أصول SharePoint: أجرِ مسحاً شاملاً لجميع نسخ SharePoint في بيئتك، بما فيها النسخ القديمة أو المنسية في بيئات التطوير والاختبار. تأكد من تغطيتها جميعاً بعملية إدارة الثغرات.
6. مراجعة خطة ترقية SharePoint: إذا كنت لا تزال تشغل SharePoint 2016، ضع خطة عاجلة للانتقال إلى SharePoint Server Subscription Edition أو SharePoint Online ضمن Microsoft 365، التي تتلقى تحديثات أمنية تلقائية.

الخلاصة

ثغرة CVE-2026-32201 في SharePoint ليست ثغرة عادية — هي ثغرة يوم صفر مُستغلة فعلياً، لا تتطلب مصادقة، وتؤثر على منصة تحتوي أكثر المستندات حساسية في أي مؤسسة. مع وجود أكثر من 1,300 خادم مكشوف عالمياً، السؤال ليس هل ستُستغل بشكل أوسع، بل متى. المؤسسات المالية السعودية التي تعتمد على SharePoint بحاجة لاتخاذ إجراء فوري للترقيع والتقييد والمراقبة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما في ذلك مراجعة شاملة لإدارة الثغرات وتصحيحات الأنظمة الحرجة.