اكتشف فريق الأبحاث والتحليل العالمي (GReAT) في شركة كاسبرسكي أن الثغرات الأمنية المستغلة حديثًا في أداة (ToolShell) عبر برنامج (SharePoint) التابع لمايكروسوفت، تعود إلى إصلاح غير مكتمل لثغرة (CVE-2020-1147)، التي اُكتشفت في عام 2020.

ويسلط هذا الاكتشاف الضوء على الطبيعة المستمرة للتهديدات السيبرانية والتحديات التي تواجهها المؤسسات في تأمين أنظمتها.

تفاصيل ثغرات (SharePoint):

ظهرت ثغرات برنامج (SharePoint) كتهديد كبير في مجال الأمن السيبراني هذا العام، إذ استغلها المهاجمون بشكل نشط، وقد رصدت شبكة كاسبرسكي الأمنية (KSN) محاولات استغلال لهذه الثغرات في جميع أنحاء العالم، بما يشمل: مصر، والأردن، وروسيا، وفيتنام، وزامبيا.

وتستهدف هذه الهجمات مؤسسات في قطاعات حيوية مثل: القطاعات الحكومية، والمالية، والتصنيع، بالإضافة إلى قطاعي الغابات والزراعة. وتجدر الإشارة إلى أن حلول كاسبرسكي الأمنية نجحت في اكتشاف هجمات (ToolShell) ومنعها بنحو استباقي قبل الكشف عن الثغرات علنًا، مما يؤكد فعالية حمايتها.

التشابه مع ثغرات سابقة:

حلل باحثو كاسبرسكي كود الاستغلال المنشور لأداة (ToolShell)، ووجدوا تشابهًا مقلقًا مع استغلال الثغرة الأمنية (CVE-2020-1147)، التي ظهرت في عام 2020. ويشير هذا التشابه إلى أن التحديث الأمني الأخير (CVE-2025-53770) يمثل الحل الفعال للثغرة التي كان من المفترض أن تُعالج قبل خمس سنوات، مما يدل على أن الإصلاح الأولي لم يكن كاملًا.

وقد اتضح وجود صلة بين الثغرات بعد اكتشاف ثغرتي (CVE-2025-49704)، و (CVE-2025-49706)، اللتين أُصلحتا في 8 يوليو. ومع ذلك، أمكن تجاوز هذه الإصلاحات بسهولة من خلال إضافة شرطة مائلة واحدة (/) إلى الحمولة المستخدمة في الهجوم.

استجابة مايكروسوفت والتحديثات الأمنية:

عندما علمت مايكروسوفت بوجود استغلال نشط لهذه الثغرات، أصدرت تحديثات أمنية شاملة تصدت لأساليب التجاوز المحتملة، وخصّصت لها رمزي (CVE-2025-53770)، و (CVE-2025-53771) وقد وقعت موجة من الهجمات على خوادم SharePoint حول العالم خلال المدة الفاصلة بين بدء الاستغلال وتطبيق التحديثات الكاملة، مما يؤكد على أهمية الاستجابة السريعة للتهديدات السيبرانية.

ومع توفر التحديثات الأمنية حاليًا لثغرات ToolShell، تتوقع كاسبرسكي أن يواصل المهاجمون استغلال سلسلة الثغرات هذه لسنوات مقبلة.

وحذّر بوريس لارين، الباحث الأمني الرئيسي في فريق GReAT في كاسبرسكي، من أن هذه الثغرات قد تتبع مسار ثغرات أخرى شهيرة مثل: ProxyLogon، و PrintNightmare، و EternalBlue، التي لا تزال تهدد الأنظمة غير المحدّثة حتى اليوم.

وأشار لارين،  إلى أن سهولة استغلال (ToolShell) تجعل من المرجح أن تُدمج في أدوات اختبار الاختراق الشائعة، مما سيزيد من انتشار استخدام المهاجمين لها.

توصيات كاسبرسكي للحماية من ثغرات (SharePoint):

لضمان أعلى مستويات الأمان، يوصي خبراء كاسبرسكي المؤسسات التي تستخدم برنامج (SharePoint) التابع لمايكروسوفت باتباع الإجراءات التالية:

• تطبيق آخر التحديثات الأمنية فورًا: يجب على المؤسسات تطبيق أحدث التحديثات الأمنية على الفور، خاصة تلك المتعلقة بالثغرات العالية الخطورة، لأن أي تأخير، حتى لو لمدة قصيرة، قد يؤدي إلى اختراق النظام واستغلاله.
• استخدام حلول الأمن السيبراني المتقدمة: في حال عدم توفر التحديثات الأمنية لثغرات اليوم صفر (Zero-Day)، يجب استخدام حلول قادرة على التصدي لها. على سبيل المثال، يوفر حل (Kaspersky Next) حماية متقدمة بفضل ميزة اكتشاف السلوك (Behavior Detection)، التي تعمل على منع استغلال هذه الأنواع من الثغرات بطريقة استباقية.

الخلاصة:

يؤكد هذا التقرير أهمية التحديثات الأمنية المستمرة والتصحيحات الشاملة، كما يسلط الضوء على أن الثغرات الأمنية، حتى بعد اكتشافها وإصلاحها جزئيًا، يمكن أن تظل تشكل تهديدًا كبيرًا إذا لم تُطبق الحلول الكاملة بنحو فعال وسريع على جميع الأنظمة المعرضة للخطر. ويجب على المؤسسات إعطاء الأولوية لتحديث أنظمتها وتطبيق التصحيحات الأمنية فور توفرها للتخفيف من المخاطر المحتملة.

نسخ الرابط تم نسخ الرابط