התקפת סייבר גלובלית מאיימת על שרתים! כיצד תוקפים מנצלים פרצת Zero-Day קריטית ב־Microsoft SharePoint, ומהם צעדי ההגנה החיוניים לארגונכם – במאמר זה.
התקפה עולמית על Microsoft SharePoint: פרצת Zero-Day קריטית
"ToolShell": מתקפה רחבת היקף מנצלת פרצת אבטחה חמורה
שבוע סוער עבר על קהילת הסייבר עם גילוי מתקפת Zero-Day קריטית המשפיעה על שרתי Microsoft SharePoint מקומיים (On-Premises). חוקרים זיהו גל תקיפות בסוף השבוע, ואזהרות פורסמו במהירות על ידי גורמים מובילים בתעשייה. הפרצה, שזכתה לכינוי "ToolShell", כבר נוצלה על ידי תוקפים כדי לחדור למאות ארגונים ברחבי העולם, לרבות חברות פרטיות וסוכנויות ממשלתיות בארצות הברית, גרמניה, צרפת ואוסטרליה, והיא מתפשטת במהירות.
הפגיעות, המזוהה כ־CVE-2025-53770 מאפשרת לתוקפים לחדור למערכות ללא אימות, עם גישה מלאה לקבצים, תצורות פנימיות ויכולת הרצת קוד. מדובר בפרצה ברמת חומרה גבוהה (ציון CVSS של 9.8) והיא מהווה עקיפה לתיקון קודם שפרסמה מיקרוסופט עבור פגיעות דומה (CVE-2025-49706).
האקרים עוקפים הגנות וחוזרים לזירות התקיפה: השפעות הפרצה
גניבת מפתחות קריפטוגרפיים וגישה מתמשכת: מה עושים התוקפים בתוך הרשת?
מתקפת ה־Zero-Day ב־SharePoint מאפשרת לתוקפים לעקוף בקרות זהות (לרבות MFA ו־SSO) ולהשיג גישה נרחבת למערכות. התוקפים מבצעים דליפת נתונים, פורסים דלתות אחוריות (backdoors) לעמידות מתמשכת, וגונבים מפתחות קריפטוגרפיים פנימיים (MachineKey) של שרתי SharePoint. גניבת מפתח זו קריטית: היא מאפשרת גישה מתמשכת ולא מאומתת, ועלולה לעקוף גם תיקונים עתידיים.
מומחים מזהירים: אם שרתי SharePoint שלכם חשופים לאינטרנט, יש להניח שכבר נפגעתם.
הטלאי לבדו לא יספיק, שכן האינטגרציה העמוקה הופכת כל פריצה ל"דלת פתוחה" לכלל הרשת.
מיקרוסופט פרסמה הנחיות וטלאים לשתיים משלוש הגרסאות המושפעות, אך גרסת SharePoint Server 2016 נותרה ללא תיקון. סוכנויות כמו CISA פרסמו התרעות. ייחוס התקיפה (זיהוי הגורם התוקף) עדיין בעיצומו, אך סימנים ראשונים מצביעים על גורמים בחסות מדינה. סריקות מראות כי כ־9,300 שרתי SharePoint חשופים לאינטרנט מדי יום.
חשוב לציין שגרסת SharePoint מבוססת הענן (Microsoft 365) אינה מושפעת.
השלכות מיידיות: סיכון מתמשך וצורך בפעולה דחופה
מעבר לתיקון: כיצד ארגונים יכולים למתן את האיום ולשמור על גישה מאובטחת?
הפריצה חושפת בעיה עמוקה יותר: גם לאחר שמיקרוסופט פרסמה תיקונים לפגיעויות קודמות, התוקפים מצאו דרך לעקוף אותן באמצעות וריאציה חדשה של הפרצה. נראה כי זו אינה הפעם הראשונה שבה מיקרוסופט מותקפת על רקע תיקונים צרים מדיי המותירים פתחי תקיפה דומים. ההשלכה המיידית היא שגם ארגונים שיטמיעו את התיקונים המאוחרים, עלולים להישאר פגיעים אם התוקפים גנבו את מפתחות ההצפנה שלהם. מומחים מזהירים כי הדרך היחידה למנוע גישה חוזרת של התוקפים היא באמצעות סיבוב (rotation) של מפתחות קריפטוגרפיים פנימיים. מדובר ב"תרחיש גרוע מכל הבחינות" לדברי חוקרים, מאחר שהפגיעות תנוצל עוד זמן רב בעתיד, גם כשאנו מנסים לתקן, בגלל יכולתם של התוקפים לשמור על גישה.
המלצות מאת מומחי אבטחת מידע של IPV Security:
- הנחת פריצה וחקירה מיידית – אם יש לכם שרתי SharePoint מקומיים החשופים לאינטרנט, הניחו שהמערכת נפרצה ובצעו חקירה מקיפה ודחופה לאיתור פגיעה.
- הפעלת Anti-Malware Scan Interface (AMSI) – הפעילו והגדירו כראוי את AMSI ב־SharePoint או נתקו את השרתים מהאינטרנט באופן מיידי עד להטמעת טלאי חירום מלא.
- הטמעת טלאים (Patches) באופן מיידי – התקינו את כל הטלאים שפרסמה מיקרוסופט עבור הגרסאות הרלוונטיות של SharePoint Server.
- סיבוב מפתחות קריפטוגרפיים (MachineKey Rotation) – זהו צעד קריטי! לאחר הטמעת הטלאים, יש לבצע סיבוב של מפתחות הקריפטוגרפיה הפנימיים של שרתי SharePoint (MachineKey) כדי למנוע גישה מתמשכת של תוקפים שגנבו אותם.
- בידוד רשת – במידת האפשר, בודדו את שרתי SharePoint מהאינטרנט ומחלקים אחרים של הרשת הארגונית עד להשלמת התיקון המלא.
- בדיקת אינדיקטורים לפשרה (IOCs) – השתמשו ב־IOCs שפורסמו על ידי חוקרי אבטחה וסוכנויות כמו CISA, Palo Alto Networks Unit 42 ו־Eye Security כדי לבדוק אם השרתים שלכם נפרצו.
- הגברת ניטור – הגבירו את ניטור תעבורת הרשת והפעילות בשרתי SharePoint לאיתור חריגות וסימני פריצה.
- שקלו ניתוק זמני – אם אין לכם את היכולת לבצע את התיקונים והבדיקות באופן מיידי, שקלו לנתק את שרתי SharePoint מהאינטרנט באופן זמני, כ"פלסטר" מיידי.
לסיכום
מתקפת ה־Zero-Day על Microsoft SharePoint היא תזכורת כואבת למורכבות איומי הסייבר המודרניים. היא מדגישה את הצורך בפעולה מיידית, מעבר לתיקון טכני גרידא, ואת החשיבות של אסטרטגיית אבטחה הוליסטית הכוללת זיהוי מוקדם, תגובה מהירה ושיקום מערכות באופן שימנע חזרה של תוקפים. זו אינה רק פרצה בתוכנה, אלא פגיעות בדלת הכניסה לרשת הארגונית כולה.
למידע נוסף: https://cyberscoop.com/microsoft-sharepoint-zero-day-attack-spree/
https://www.washingtonpost.com/technology/2025/07/20/microsoft-sharepoint-hack/
מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!
להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.
