اكتشف فريق الأبحاث والتحليل العالمي (GReAT) في شركة كاسبرسكي أن الثغرات الأمنية المستغلة حديثًا في أداة (ToolShell) عبر برنامج (SharePoint) التابع لمايكروسوفت، تعود إلى إصلاح غير مكتمل لثغرة (CVE-2020-1147)، التي اُكتشفت في عام 2020.
ويسلط هذا الاكتشاف الضوء على الطبيعة المستمرة للتهديدات السيبرانية والتحديات التي تواجهها المؤسسات في تأمين أنظمتها.
ظهرت ثغرات برنامج (SharePoint) كتهديد كبير في مجال الأمن السيبراني هذا العام، إذ استغلها المهاجمون بشكل نشط، وقد رصدت شبكة كاسبرسكي الأمنية (KSN) محاولات استغلال لهذه الثغرات في جميع أنحاء العالم، بما يشمل: مصر، والأردن، وروسيا، وفيتنام، وزامبيا.
وتستهدف هذه الهجمات مؤسسات في قطاعات حيوية مثل: القطاعات الحكومية، والمالية، والتصنيع، بالإضافة إلى قطاعي الغابات والزراعة. وتجدر الإشارة إلى أن حلول كاسبرسكي الأمنية نجحت في اكتشاف هجمات (ToolShell) ومنعها بنحو استباقي قبل الكشف عن الثغرات علنًا، مما يؤكد فعالية حمايتها.
حلل باحثو كاسبرسكي كود الاستغلال المنشور لأداة (ToolShell)، ووجدوا تشابهًا مقلقًا مع استغلال الثغرة الأمنية (CVE-2020-1147)، التي ظهرت في عام 2020. ويشير هذا التشابه إلى أن التحديث الأمني الأخير (CVE-2025-53770) يمثل الحل الفعال للثغرة التي كان من المفترض أن تُعالج قبل خمس سنوات، مما يدل على أن الإصلاح الأولي لم يكن كاملًا.
وقد اتضح وجود صلة بين الثغرات بعد اكتشاف ثغرتي (CVE-2025-49704)، و (CVE-2025-49706)، اللتين أُصلحتا في 8 يوليو. ومع ذلك، أمكن تجاوز هذه الإصلاحات بسهولة من خلال إضافة شرطة مائلة واحدة (/) إلى الحمولة المستخدمة في الهجوم.
قد يهمك أيضًا: مايكروسوفت تطلق مزايا ذكاء اصطناعي جديدة في ويندوز 11
عندما علمت مايكروسوفت بوجود استغلال نشط لهذه الثغرات، أصدرت تحديثات أمنية شاملة تصدت لأساليب التجاوز المحتملة، وخصّصت لها رمزي (CVE-2025-53770)، و (CVE-2025-53771) وقد وقعت موجة من الهجمات على خوادم SharePoint حول العالم خلال المدة الفاصلة بين بدء الاستغلال وتطبيق التحديثات الكاملة، مما يؤكد على أهمية الاستجابة السريعة للتهديدات السيبرانية.
ومع توفر التحديثات الأمنية حاليًا لثغرات ToolShell، تتوقع كاسبرسكي أن يواصل المهاجمون استغلال سلسلة الثغرات هذه لسنوات مقبلة.
وحذّر بوريس لارين، الباحث الأمني الرئيسي في فريق GReAT في كاسبرسكي، من أن هذه الثغرات قد تتبع مسار ثغرات أخرى شهيرة مثل: ProxyLogon، و PrintNightmare، و EternalBlue، التي لا تزال تهدد الأنظمة غير المحدّثة حتى اليوم.
وأشار لارين، إلى أن سهولة استغلال (ToolShell) تجعل من المرجح أن تُدمج في أدوات اختبار الاختراق الشائعة، مما سيزيد من انتشار استخدام المهاجمين لها.
لضمان أعلى مستويات الأمان، يوصي خبراء كاسبرسكي المؤسسات التي تستخدم برنامج (SharePoint) التابع لمايكروسوفت باتباع الإجراءات التالية:
يؤكد هذا التقرير أهمية التحديثات الأمنية المستمرة والتصحيحات الشاملة، كما يسلط الضوء على أن الثغرات الأمنية، حتى بعد اكتشافها وإصلاحها جزئيًا، يمكن أن تظل تشكل تهديدًا كبيرًا إذا لم تُطبق الحلول الكاملة بنحو فعال وسريع على جميع الأنظمة المعرضة للخطر. ويجب على المؤسسات إعطاء الأولوية لتحديث أنظمتها وتطبيق التصحيحات الأمنية فور توفرها للتخفيف من المخاطر المحتملة.
