Trend Micro הודיעה ב־23 ביולי 2025 על הגנה מיידית ללקוחותיה מפני חולשות Zero‑Day ב‑SharePoint. ההגנה זמינה עוד לפני שמיקרוסופט השלימה את פריסת התיקונים הרשמיים לכל הגרסאות.
החברה פרסה חתימות ייחודיות מיד עם גילוי שרשרת התקיפה ToolShell, המשלבת את CVE‑2025‑53770 ו‑CVE‑2025‑53771. כך נמנע ניצול גם בארגונים מורכבים, ללא השבתת שרתים או פגיעה בשגרה העסקית.
רקע והיקף האיום
הפרצות נחשפו במסגרת תחרות ההאקרים Pwn2Own שנערכה בברלין במאי האחרון, שם חוקרי Zero Day Initiative של טרנד מיקרו הדגימו עקיפת מנגנוני האבטחה של SharePoint. חולשת CVE‑2025‑53770 מאפשרת להריץ קוד מרחוק ללא אימות, בעוד CVE‑2025‑53771 מאפשרת זיוף שרתים פנימיים והטעיית מנגנוני זיהוי.
מנגנון ToolShell משלב את שני הווקטורים ומאפשר החדרת קוד זדוני לקבצי ASPX בתיקיית LAYOUTS, במיוחד ToolPane.aspx, תוך הפעלת ViewState פגיע שמאפשר לעקוף בקרות קיימות. ב‑18 וב‑19 ביולי נצפו מתקפות עולמיות על שרתים בענפי פיננסים, בריאות, חינוך, אנרגיה ואף גופים ממשלתיים. מדובר בגל מתקפות מתואם המעיד על יכולות מתקדמות של קבוצות תקיפה גלובליות הפועלות מהר מקצב התיקונים של היצרנים. דוחות מודיעין מצביעים גם על ניצול החולשות לצורך חדירה לרשתות צד שלישי, מה שמרחיב את היקף הנזק ומייצר שרשרת אספקה מסוכנת לארגונים גדולים.
מומחי אבטחה מסבירים כי חולשות Zero‑Day ב‑SharePoint הן יעד מועדף על תוקפים בשל תפקידה הקריטי של הפלטפורמה בתשתיות ארגוניות. שרת פרוץ מספק גישה להרשאות גבוהות, מאפשר איסוף מידע רגיש ופיזור נוזקות נוספות. אירועים דומים בעבר הובילו להפסדים כבדים, פגיעה במוניטין ואף השבתות יזומות של מערכות קריטיות. הגל הנוכחי ממחיש עד כמה ארגונים חייבים לשלב פתרונות הגנה ייעודיים בנוסף לעדכוני היצרן בלבד, במיוחד בתקופה שבה מתקפות הופכות ממוקדות ומהירות יותר.
תגובת מיקרוסופט והשלכות על הארגונים
מיקרוסופט שחררה בתחילת יולי עדכון חלקי במסגרת Patch Tuesday שלא כלל את כל הגרסאות המושפעות. רק ב‑19 וב‑20 ביולי הופץ עדכון חירום לגרסאות Subscription Edition ו‑Server 2019, בעוד גרסת SharePoint Server 2016 נותרה פגיעה וללא פתרון מלא. רשות הסייבר האמריקאית CISA פרסמה התרעה רשמית והמליצה לנתק זמנית שרתים מהאינטרנט, להגביר ניטור יומני Event Log ולבצע ביקורות קונפיגורציה עד להשלמת כל העדכונים. בענפים רבים, כולל מוסדות בריאות גדולים, חברות אנרגיה וארגונים ממשלתיים, דווחו ניסיונות חדירה שתוזמנו לימים שקדמו לפרסום העדכונים – עדות לתכנון מדויק של קבוצות התקיפה.
בנוסף לתיקונים המאוחרים, מיקרוסופט המליצה להפעיל בקרות נוספות כמו AMSI ולשלב Microsoft Defender AV בשרתים המקומיים. עם זאת, מומחים ציינו כי צעדים אלו אינם מספקים מענה מלא ואינם מונעים ניצול ראשוני של החולשות. במציאות שבה זמני תגובה של יצרני תוכנה אינם תמיד מידיים, האחריות נופלת על הארגונים לשלב מערכות הגנה מתקדמות וליישם גישה רב שכבתית. הפער בין גילוי החולשה לפרסום הטלאים היה משמעותי ותוקפים ניצלו אותו במהירות.
פעולות טרנד מיקרו והמלצות להמשך
Trend Micro לא המתינה לפתרון הרשמי ופרסה חתימות הגנה כבר ב‑20 במאי, כחודש לפני הופעת המתקפות בפועל. ההגנה מבוססת על זיהוי חריגות ברשת, חסימת קבצים חשודים וניטור בזמן אמת של דפוסי פעילות חשודה המכוונים ל‑ToolShell. לקוחות החברה קיבלו שכבת אבטחה אוטומטית ללא צורך בביצוע פעולות ידניות, מה שמנע השבתות יקרות והפחית את הסיכון לדליפת מידע. פריסת החתימות נעשתה דרך שירותי הענן של טרנד מיקרו, כך שגם ארגונים קטנים עם צוותי IT מצומצמים נהנו מאותה רמת הגנה מתקדמת כמו חברות גדולות.
מעבר למענה המיידי, החברה הדגישה את החשיבות של תוכנית Zero Day Initiative שמתגמלת חוקרי אבטחה על גילוי ודיווח פרטי של חולשות. התוכנית אחראית ליותר מ‑60% מהגילויים המתועדים בשנים האחרונות ומאפשרת תיאום מלא עם ספקיות תוכנה גדולות כמו מיקרוסופט. המודל הזה מקצר את הזמן בין גילוי החולשה לפרסום הפתרון ומאפשר לארגונים לקבל שכבת הגנה גם כאשר פיתוח הטלאים נמשך שבועות. טרנד מיקרו ציינה כי המקרה ממחיש את הצורך בשיתוף פעולה בין יצרני תוכנה, חוקרי אבטחה וארגונים עסקיים כדי לצמצם את חלון ההזדמנויות של התוקפים.
המלצות האבטחה של טרנד מיקרו כוללות התקנת תיקוני חירום בהקדם, ניטור מתמשך של קבצי ASPX בתיקיית LAYOUTS ובחינת ViewState לשינויים חריגים. בנוסף מומלץ לבצע סיבוב מפתחות machineKey ב‑ASP.NET ולהפעיל מחדש את שרת IIS כדי לנקות מטמונים ישנים ולמנוע עקיפות נוספות. כחלק מגישה רב שכבתית יש להפעיל AMSI ולשלב Microsoft Defender AV כדי לזהות ניסיונות חדירה מתקדמים עוד בשלביהם הראשוניים. ארגונים שאין להם צורך בחשיפה ציבורית לשרתים המקומיים מתבקשים לשקול ניתוק זמני מהרשת החיצונית עד להשלמת כל הטלאים. Trend Micro מזהירה כי מדובר בגל מתקפות גלובלי מתואם היטב שמעיד על מגמה עולמית של ניצול פרצות מורכבות לפני הפצת תיקון רשמי, ולכן יש לפעול במקביל לפריסת העדכונים ולא להמתין. החברה מוסיפה כי עיכוב במענה טכני מעלה את הסיכון לנזקים כלכליים ותדמיתיים כבדים וממליצה לשלב פתרונות הגנה ייעודיים בנוסף לתיקוני היצרן.
