بقلم: المهندس مصطفى كامل الشريف
مستشار في أمن المعلومات و التحول الرقمي

مقدمة الملحق:

في ضوء التطورات المتسارعة التي أعقبت نشر مقالي التحليلي حول اختراق خوادم Microsoft في تموز/يوليو 2025، وتحديدًا ما تعرّضت له مؤسسات سيادية أميركية عبر ثغرات خطيرة في نظام SharePoint، برزت مستجدات نوعية تستوجب التوثيق والتحليل.

لم يكن هذا الهجوم حدثًا عابرًا أو خللًا تقنيًا معزولًا، بل أصبح مثالًا صارخًا على هشاشة النظم المحلية (On‑Premises) أمام موجات الهجمات المتقدمة التي تنفّذها جهات مدعومة من دول، في مقدمتها الصين.

ومن هذا المنطلق، يهدف هذا الملحق التحليلي المحدث حتى 30 تموز 2025 إلى استعراض آخر النتائج والتحقيقات، وأسماء الجهات المتورطة، إلى جانب تحليل انعكاسات هذا الحدث على الأمن السيبراني العالمي، وتقديم دروس عملية لحماية البنية التحتية الرقمية في العراق والدول النامية.

🔹 لمحة عامة وتطورات أساسية

حجم وتوسع الاختراق

• تبيّن أن الحملة الهجومية استهدفت نحو 400 منظمة حول العالم، مقارنة بالتقارير الأولية التي قدّرت العدد بـ 60 إلى 85 منظمة فقط.
• الهجوم ركّز على خوادم SharePoint on-premises (المحلية) دون أن يطال خدمات Microsoft 365 السحابية.

 الجهات الهجومية

تم تحديد ثلاث مجموعات مدعومة من الدولة الصينية، مرتبطة بأنشطة استخبارية وتجسسية:

• Linen Typhoon
• Violet Typhoon
• Storm‑2603
  وقد استخدمت هذه الفرق أدوات اختراق متقدمة (APT) إضافة إلى برامج فدية مثل Warlock وLockbit.

 المؤسسات المتضرّرة في الولايات المتحدة

شملت قائمة الضحايا جهات حكومية وعلمية حساسة:

• وكالة الأمن النووي الوطنية (NNSA)
• وزارة الطاقة الأميركية
• وكالة الأمن الداخلي (DHS)
• وزارة الصحة والخدمات الإنسانية (HHS)
• المعاهد الوطنية للصحة (NIH)
• مختبر فيرمي (Fermilab)

مع التأكيد أن البيانات الحساسة لم تُسرق بحسب التصريحات الرسمية، والضرر الحالي يُصنَّف ضمن الفئة “المحدودة” ويتم معالجته حاليًا.

   الأدوات والثغرات المستخدمة: سلسلة ToolShell

• اعتمدت الهجمات على ثغرتين أساسيتين:
  • CVE‑2025‑49706 (تجاوز المصادقة auth bypass)
  • CVE‑2025‑49704 (تنفيذ أوامر عن بُعد RCE)
• ورغم إصدار مايكروسوفت لتحديث أولي في 8 تموز، فإن الثغرات استُغلّت مجددًا، ما اضطر الشركة لإصدار تحديثات طارئة إضافية بتاريخ 19 و21 تموز لتغطية:
  • CVE‑2025‑53770
  • CVE‑2025‑53771

 استجابة السياسات والتوصيات التقنية

قامت وكالة CISA بإدراج الثغرات في كتالوج الثغرات المُستغلّة فعليًا (KEV)، وهو ما يدلّ على خطورتها.

قامت وكالة CISA بإدراج الثغرات في كتالوج الثغرات المُستغلّة فعليًا (KEV)، وهو ما يدلّ على خطورتها.

التوصيات العاجلة شملت:التوصيات العاجلة شملت:

o تطبيق كافة التحديثات الأمنية الأخيرة
o تمكين AMSI (Antimalware Scan Interface)
o تشغيل Microsoft Defender أو حلول مماثلة
o تدوير مفاتيح ASP.NET (MachineKeys)
o مراقبة سجلات ToolPane.aspx وSignOut.aspx
o استخدام جدران حماية تطبيقات الويب (WAF)
o عزل الأنظمة المكشوفة مؤقتًا إن لم تُحدّث بعد

 التأثير طويل الأجل

الرموز التشفيرية المسروقة (Machine Keys) قد تمنح المهاجمين إمكانية الوصول حتى بعد التصحيح، ما يهدّد بعودة النشاط الخبيث لاحقًا ضمن هجمات أكثر تعقيدًا تشمل برامج فدية أو تجسس.

🔹 هل فقدت مايكروسوفت السيطرة على بنيتها السيبرانية؟

• بعض الانتقادات ركزت على تأخّر مايكروسوفت في التصحيح الأولي رغم علمها بالثغرات منذ أيار.
• في المقابل، يُحسب لها سرعة الاستجابة في النصف الثاني من تموز بإصدار تحديثات إضافية وإرشادات فنية دقيقة لتقليل الضرر.

🔹 ماذا يمكن أن نتعلّم في العراق والدول النامية ؟

🔹 التوصيات التقنية الفورية

1. تحديث جميع خوادم SharePoint On-Premises وفقًا لتحديثات CVE‑2025‑53770/53771.
2. تمكين AMSI وMicrosoft Defender أو حلول مكافئة فعالة.
3. تدوير مفاتيح ASP.NET وإعادة تهيئة خدمات IIS.
4. تحليل السجلات ما بين 17–22 تموز لمراقبة النشاطات المريبة.
5. عزل الأنظمة المكشوفة لحين التأكد من سلامتها.
6. تنفيذ نظام SIEM/SOAR للرصد والتجاوب المبكر.

 🔹 الخاتمة

رغم عدم تسجيل تسريب مباشر للبيانات الحساسة، فإن هذا الحادث يعكس هشاشة النشر المحلي، وضرورة تبني نماذج حماية استباقية تعتمد على التحديث المستمر، الحوكمة الأمنية، وتبادل المعلومات الاستخباراتية. بالنسبة للعراق، فإن أخذ هذه الدروس على محمل الجد، وتطوير قدراته السيبرانية الوطنية، بات أمرًا ملحًا.

لقراءة المقال التحليلي السابق عن هذه الموضوع أضغط على الرابط أدناه

مايكروسوفت تحت النيران: تحليل الهجوم السيبراني الذي ضرب المؤسسات الأمريكية الحساسة.