טרנד מיקרו (Trend Micro) מודיעה כי למרות חולשות האבטחה הקריטיות שהתגלו בשרתי SharePoint של מיקרוסופט (Microsoft), ולמרות שמיקרוסופט טרם שחררה תיקונים מלאים לשתי חולשות מהותיות, לקוחות טרנד מיקרו מוגנים מחולשות אלו.
ההודעה היא בעקבות דיווח כי האקרים מנצלים פרצת אבטחה חמורה בב-SharePoint ותוקפים עשרות אלפי שרתי SharePoint ברחבי העולם, כשעד כה אין תיקון מלא מצד מיקרוסופט.
ההתקפה מוגדרת כניצול פגיעות "יום אפס", כלומר כזו שמנצלת פרצה שטרם תוקנה. מיקרוסופט אמנם פרסמה טלאי לאחת מגרסאות התוכנה, אך שתי גרסאות עדיין חשופות. מדובר בפרצות CVE-2025-53770 ו-CVE-2025-53771 העוקפות, לכאורה, תיקונים של מיקרוסופט שנכללו בעדכון האבטחה הלא מתכונן ששוחרר כבר.
CVE-2025-53770 היא חולשת הרצת קוד מרחוק (RCE) המאפשרת לתוקפים להריץ קוד ברשת מבלי להזדהות. CVE-2025-53771 היא חולשת זיוף שרת (Server Spoofing).
על מי זה משפיע
חוקרי טרנד מעריכים כי הפרצות האלו דווחו כמשפיעות על גרסאות SharePoint בהתקנה מקומית הבאות של מיקרוסופט: SharePoint Subscription Edition לצד SharePoint Server 2019 ו-SharePoint Server 2016. נכון לעכשיו, הגרסה המקוונת של SharePoint אינה מדווחת כחשופה לפרצות הללו.
לדברי קיריל גלפנד, אדריכל אבטחה בכיר בטרנד מיקרו, שתי החולשות ב-SharePoint מבוססות על חולשות קודמות שנחשפו כבר לפני מספר חודשים במסגרת תחרות ההאקרים Pwn2Own מבית ZDI של טרנד מיקרו שהתקיימה בברלין במאי האחרון. מיד עם גילוי החולשות, הן דווחו למיקרוסופט לפי הנהלים המקובלים. מיקרוסופט שחררה תיקונים רשמיים במסגרת שגרת העדכון הרגילה ביולי, אך ניתוח נוסף העלה כי התיקונים היו חלקיים בלבד. בצעד יזום, כבר בעת הגילוי, יצרה טרנד מיקרו חתימות הגנה המגנות על לקוחותיה, עוד לפני שפורסם תיקון רשמי.
התוכנית של מיקרו טרנד
תוכנית ZDI (Zero Day Initiative), היא תוכנית של טרנד מיקרו שמתגמלת חוקרי אבטחה על דיווח על פגיעויות יום אפס ישירות לספקים. המטרה העיקרית של ZDI היא להגן על לקוחות טרנד מיקרו, לעודד דיווח פרטי על פגיעויות ולהשתמש בקהילה העולמית של האקרים וחוקרים עצמאיים, והיא אחראית על פרסום של כ-60% מהחולשות בעולם .
מטרנד נמסר כי מזוהים כל העת ניסיונות ניצול במגוון רחב של תעשיות, כולל פיננסים, חינוך, אנרגיה ובריאות, ועדיין נבחנת ההשפעה על ישראל. כלל לקוחות טרנד מיקרו כבר מוגנים, ולקוחות שרכשו הגנה רשתית מתקדמת מוגנים כבר מה-20 במאי.
חוקרי טרנד ממליצים בחום להתקין את עדכוני האבטחה האחרונים של מיקרוסופט לשרתי SharePoint בהתקנה מקומית (יש לשים לב ש-Office 365 וגרסאות הענן אינן מושפעות), לעקוב אחר קבצי ASPX חשודים בתיקיית LAYOUTS, לבצע ביקורת לקבצי הגדרה לאיתור שינויים חריגים, ולבדוק את הלוגים של שרת כדגי לזהות דפוסי גישה חריגים – במיוחד כאלו הכוללים את ToolPane.aspx ופעילות ViewState.