פרצת הרצת קוד מרחוק חמורה ב-SharePoint מנוצלת בשטח – CISA מוסיפה ל-KEV
ב-1 ביולי 2026 הוסיפה סוכנות הסייבר האמריקאית CISA את הפגיעות CVE-2026-45659 לרשימת ה-Known Exploited Vulnerabilities (KEV), לאחר שאישרה ניצול פעיל בשטח. הפגיעות, בציון חומרה CVSS של 8.8, פוגעת בגרסאות On-Premises של SharePoint Server: Subscription Edition, SharePoint Server 2019 ו-SharePoint Enterprise Server 2016. מיקרוסופט פרסמה תיקון עוד במאי, אך העריכה בהודעה המקורית שניצול הפגיעות 'פחות סביר' – הערכה שהתבררה כשגויה.
מדובר בפגיעת דה-סריאליזציה (Deserialization) של נתונים לא מהימנים. בפועל, כל תוקף המחזיק פרטי גישה תקינים ברמת הרשאה נמוכה יחסית – Site Member בלבד – יכול לשלוח בקשה עם מטען מסודרן (Serialized Payload) זדוני, ובעת הפענוח שלו בצד השרת מתבצעת הרצת קוד שרירותי בהקשר של שירות ה-SharePoint. משמעות הדבר היא שרף הכניסה למתקפה נמוך יחסית: לא נדרשות הרשאות מנהל, רק חשבון משתמש רגיל בארגון.
מחקר שטח מראה שתוקפים המנצלים את הפגיעות פורסים לאחר החדירה כלים כמו Velociraptor (בדרך כלל כלי חקירה פורנזית לגיטימי, המנוצל כאן לצרכי שליטה), מנהרות Cloudflare Tunnels ליצירת ערוצי תקשורת יוצאים שקשה לחסום, וגישת SSH להשגת התמדה (Persistence) ותנועה רוחבית ברשת הפנימית.
הפער בין הערכת מיקרוסופט המקורית לבין המציאות בשטח מדגיש בעיה מוכרת בניהול פגיעויות: דירוג 'ניצול פחות סביר' אינו תחליף להערכת סיכון עצמאית, במיוחד עבור מערכות הנגישות מהאינטרנט או פנימיות עם משתמשים רבים.
ארגונים המפעילים SharePoint Server בסביבה מקומית (לא SharePoint Online) נדרשים לוודא שהתיקון ממאי הותקן באופן מיידי, ולבצע ציד איומים (Threat Hunting) אחר סימנים לפריסת הכלים שצוינו – בפרט חיבורי Cloudflare Tunnel יוצאים חריגים משרתי SharePoint.
תגובות