كشف فريق الأبحاث والتحليل العالمي (GReAT) لدى شركة كاسبرسكي أن الثغرات الأمنية المرتبطة بأداة ToolShell على منصة Microsoft SharePoint ناتجة عن إصلاح غير مكتمل لثغرة CVE-2020-1147، والتي كانت قد أُبلغ عنها لأول مرة قبل خمس سنوات، في عام 2020.
وشهد العام الجاري بروز ثغرات SharePoint كأحد أخطر التهديدات في مشهد الأمن السيبراني، حيث سجلت شبكة كاسبرسكي الأمنية (KSN) محاولات استغلال نشطة لها على مستوى عالمي، شملت مصر، الأردن، روسيا، فيتنام، وزامبيا. وتستهدف هذه الهجمات كيانات في قطاعات حساسة تشمل الحكومة، والقطاع المالي، والصناعة، والغابات، والزراعة.
أظهرت التحليلات التي أجراها باحثو GReAT تطابقاً مثيراً للقلق بين كود الاستغلال الخاص بـ ToolShell والكود الذي استُخدم في ثغرة CVE-2020-1147، ما يبيّن أن التحديث الأمني الأخير CVE-2025-53770 قد يكون هو العلاج الفعلي لثغرة لم تُعالَج بشكل كامل منذ خمس سنوات.
وخلال عملية التحقيق، تم الربط بين سلسلة الثغرات من خلال اكتشاف CVE-2025-49704 وCVE-2025-49706، واللتين تم إصلاحهما في 8 يوليو، إلا أن هذه الإصلاحات أمكن تجاوزها ببساطة عبر إضافة شرطة مائلة واحدة (/) إلى الحمولة المستخدمة في الهجوم. ومع إعلان مايكروسوفت عن وجود استغلال فعلي، سارعت بإصدار تحديثات أمنية شاملة أُدرجت تحت رمزي CVE-2025-53770 وCVE-2025-53771.
شهدت خوادم SharePoint موجة من الهجمات العالمية خلال الفترة الزمنية بين بدء الاستغلال الفعلي وتطبيق التحديثات الأمنية الكاملة، مما فاقم من مستوى التهديد ووسع نطاق الاستهداف.
وعلى الرغم من توفر التحديثات حالياً، تُحذّر كاسبرسكي من احتمال استمرار استخدام سلسلة ثغرات ToolShell لسنوات قادمة، نظراً لبساطة استغلالها وتوقع توافر أدوات هجومية ضمن أدوات اختبار الاختراق الشائعة.
وفي هذا السياق، صرّح بوريس لارين، الباحث الأمني الرئيسي لدى GReAT:
“العديد من الثغرات البارزة، مثل ProxyLogon وPrintNightmare وEternalBlue، بقيت مستغلة لفترات طويلة بعد اكتشافها — ولا تزال تهدد الأنظمة غير المحدّثة حتى اليوم. نتوقع أن تسلك ToolShell النمط ذاته، ونرجّح أن تصبح أدوات استغلالها متاحة على نطاق واسع، مما يُسهّل على المهاجمين مواصلة استغلالها.”
