מיקרוסופט מודה: האקרים סינים מנצלים חולשה קריטית במערכת שלנו

סוכנויות ממשלתיות וחברות פרטיות ברחבי העולם נמצאות תחת מתקפה נרחבת בארבעת הימים האחרונים, אחרי שהתגלה כי חולשה קריטית במערכת SharePoint של מיקרוסופט מנוצלת בהיקף נרחב על ידי האקרים. ההתקפה, שקיבלה את השם "ToolShell", כבר פגעה במאות מערכות ברחבי העולם ויש דיווחים כי בכמה מקרים כבר הוגשו בקשות לכופר בידי תוקפים דיגיטליים.

SharePoint היא תוכנת שרת שחברות משתמשות בה לאחסון, ניהול, שיתוף ושיתוף פעולה במסמכים פנימיים. מיקרוסופט מוכרת את המוצר מאז 2001, ובשנה שעברה השתמשו בו יותר מ-400 אלף ארגונים, כולל כ-80 אחוז מחברות ה-Fortune 500.

פגיעות עם דירוג חומרה של 9.8

החולשה, שמסומנת רשמית כ-CVE-2025-53770, מאפשרת לתוקפים לא מורשים לבצע קוד זדוני מרחוק על שרתי SharePoint, ללא צורך באימות או הרשאות מערכת. קלות הניצול, הנזק שהיא גורמת והמיקוד המתמשך בה העניקו לה דירוג חומרה של 9.8 - מתוך 10 אפשריים.

חברת האבטחה Eye Security גילתה לראשונה את החולשה ביום שבת, ודיווחה שהיא נוצלה באופן פעיל בשני גלים החל מיום קודם לכן. החברה העריכה בתחילה כי "עשרות מערכות" נפגעו ברחבי העולם, אך העלתה את האומדן ליום רביעי ל-400 מערכות שנפרצו. בלומברג דיווח כי רשת המינהל הלאומי לביטחון גרעיני של ארצות הברית הייתה בין הנפגעות.

ביום שלישי, מיקרוסופט גילתה ראיות המראות שהניצול הפעיל החל לא יאוחר מ-7 ביולי, כלומר עוד לפני שמיקרוסופט ומומחי ההגנה ידעו על האיום (Zero Day).

על פי החברה, הבעיה משפיעה רק על מערכות SharePoint שלקוחות מפעילים באופן פנימי בארגונים שלהם, ואינה מאיימת על משתמשי שירותי הענן של מיקרוסופט.

סופות טייפון סיניות

מיקרוסופט דיווחה שזיהתה עדה כה ניצול פעיל של החולשה על ידי שלוש קבוצות נפרדות, כולן קשורות לממשלת סין. שתיים מהקבוצות היו מוכרות קודם לכן למיקרוסופט: "Linen Typhoon" שמבצעת התקפות ריגול לגניבת קניין רוחני, ו"Violet Typhoon" שמבצעת צורות מסורתיות יותר של ריגול.

הקבוצה השלישית לא הייתה מוכרת בעבר וקיבלה את הכינוי Storm-2603. מיקרוסופט מסרה שיש לה רק מעט מידע על הקבוצה מלבד קשר להתקפות כופר בעבר. עד כה, איש לא שלל את האפשרות שקבוצות אחרות - אולי מממשלות שונות או ארגוני פשע פרטיים - מנצלות גם הן את הפגיעות.

מהו "ToolShell"?

השם ToolShell נטבע על ידי דין הו אן, חוקר מחברת Viettel Cyber Security, שאיתר את החולשה. החוקר אמר שבחר בשם כי הוא ניצל את ToolPane.aspx, רכיב להרכבת תצוגת החלונית הצדדית בממשק המשתמש של SharePoint.

מיקרוסופט תיקנה את זוג הפגיעויות - CVE-2025-49706 ו-CVE-2025-49704 - לפני שבועיים כחלק מעדכון החודשי של החברה. אולם, כפי שהתברר, התיקונים לא היו שלמים, מחדל שחשף ארגונים ברחבי העולם למתקפות החדשות.

איך פועלים התוקפים?

על פי ניתוחים טכניים רבים, התוקפים מדביקים תחילה מערכות פגיעות בדלת אחורית מבוססת "webshell" - תוכנית זדונית המאפשרת שליטה מרחוק - שמקבלת גישה לחלקים הרגישים ביותר בשרת SharePoint. משם, התוכנה הזדונית מחלצת מידע ופרטי הזדהות שמאפשרים לתוקפים לקבל הרשאות מנהל, גם כאשר המערכות מוגנות באימות דו-שלבי.

לאחר החדירה, התוקפים גונבים נתונים רגישים ופותחים דלתות אחוריות נוספות שמספקות גישה מתמשכת לשימוש עתידי.

מומחי אבטחה ממליצים לבעלי מערכות SharePoint פנימיות לבדוק מיידית את המערכת. הצעד הראשון הוא לוודא שהמערכת קיבלה את עדכוני החירום שמיקרוסופט הוציאה ביום שבת, ולהתקין אותם מיידית אם טרם נעשה כן.