פרצת אבטחה חמורה ב-SharePoint מנוצלת בפועל – זה הזמן לעדכן
למעלה מ-50 ארגונים הותקפו מרגע זיהוי הפרצה. במיקרוסופט פרסמו תיקון אבטחה דחוף וממליצים למשתמשים לעדכן בהקדם
Microsoft Update. תמונה: Pixabay
פרצת אבטחה חמורה שמנוצלת בפועל בשרתי Microsoft SharePoint מקומיים נחשפה בימים האחרונים והובילה את מיקרוסופט לשחרר עדכון אבטחה דחוף במטרה לסגור אותה. לצד החולשה הזו, נחשפה גם פרצה נוספת, שגם היא טופלה במסגרת אותו עדכון.
הפרצה המרכזית, המתועדת תחת הקוד CVE-2025-53770 עם ציון חומרה גבוה במיוחד (CVSS 9.8), מאפשרת הרצת קוד מרחוק (RCE) כתוצאה מביצוע פעולות deserialization על נתונים לא אמינים. מדובר בפרצה שמשפיעה על שרתי SharePoint המותקנים מקומית בארגונים – ולא על SharePoint Online במסגרת שירותי Microsoft 365. מיקרוסופט אישרה כי היא מודעת למתקפות פעילות שמכוונות לשרתי SharePoint מקומיים ומנצלות חולשות שניסתה לטפל בהן חלקית כבר בעדכון אבטחה קודם בחודש יולי.
לצד הפרצה הזו, נחשפה חולשה נוספת (CVE-2025-53771) שמאפשרת תקיפת spoofing דרך פריצת path traversal. במיקרוסופט מציינים כי שתי החולשות קשורות לפרצות מוקדמות יותר שתועדו תחת CVE-2025-49704 ו־CVE-2025-49706, אך מדגישים כי העדכון הנוכחי כולל הגנות מקיפות בהרבה מהתיקונים הקודמים.
אלו גרסאות SharePoint כוללות את התיקון:
- SharePoint Server 2019 – גרסה 16.0.10417.20027
- SharePoint Enterprise Server 2016 – גרסה 16.0.5508.1000
- SharePoint Server Subscription Edition
- SharePoint Server 2019 Core
- SharePoint Server 2016 (יעודכן בהמשך, לפי מיקרוסופט)
במיקרוסופט ממליצים למשתמשים לעדכן מיידית לאחת מהגרסאות הנתמכות ולהתקין את כל עדכוני האבטחה האחרונים. בנוסף, מומלץ לוודא כי AMSI (Antimalware Scan Interface) מופעל במצב מלא, יחד עם אנטי־וירוס מתאים כגון Microsoft Defender Antivirus, ולהשתמש בפתרונות אבטחה מתקדמים כמו Microsoft Defender for Endpoint.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
עוד מדגישה החברה כי יש להחליף את מפתחות ההצפנה (ASP.NET machine keys) בכל שרתי SharePoint ולהפעיל מחדש את שירות IIS, וזאת כדי להבטיח שההגנות ייכנסו לפעולה במלואן. במידה שלא ניתן להפעיל את AMSI, יש לבצע את החלפת המפתחות לאחר התקנת העדכונים.
לפי דיווח של The Hacker News, לפחות 50 ארגונים כבר נפגעו, בהם בנקים, מוסדות אקדמיים וגופים ממשלתיים, אף על פי שהניצול הראשון של הפרצה תועד רק ב־18 ביולי.
