كشف فريق البحث العالمي في كاسبرسكي أن الثغرات الأمنية المستغلة مؤخرًا في أداة ToolShell ضمن برنامج SharePoint التابع لمايكروسوفت تعود في أصلها إلى إصلاح غير مكتمل لثغرة قديمة تم اكتشافها في عام 2020.
هذا الاكتشاف يؤكد من جديد أن التهديدات السيبرانية لا تموت بسهولة، وأن الثغرات التي يُعتقد أنها أُغلقت يمكن أن تعود مجددًا بشكل أخطر إن لم تُعالج بشكل جذري.
ثغرات SharePoint برزت هذا العام كخطر واضح في مجال الأمن الرقمي، خاصة بعد أن رُصدت محاولات نشطة لاستغلالها في مناطق متفرقة من العالم، من بينها مصر والأردن وروسيا وفيتنام وزامبيا، مما يكشف عن نطاق واسع للهجمات التي استهدفت قطاعات حكومية ومالية وصناعية، وحتى مجالات مثل الغابات والزراعة.
رغم خطورة الوضع، نجحت حلول كاسبرسكي في كشف هذه الهجمات وصدها قبل الإعلان الرسمي عن الثغرات، ما يؤكد فعالية تقنياتها الاستباقية وقدرتها على التصدي للمخاطر غير المعروفة مسبقًا.
بعد تحليل الكود المستخدم في استغلال أداة ToolShell، تبيّن أنه يحمل تشابهًا كبيرًا مع الثغرة الأمنية CVE-2020-1147 التي تم اكتشافها قبل خمس سنوات. هذا التشابه دلّ على أن الثغرة لم تُغلق تمامًا في المرة الأولى، وأن التحديث الأمني الجديد الذي يحمل الرمز CVE-2025-53770 يمثل الإصلاح الحقيقي الذي طال انتظاره.
المشكلة تعمّقت أكثر بعد اكتشاف ثغرتين إضافيتين تم إصلاحهما مؤخرًا، لكن تبيّن أن بإمكان المهاجمين تجاوز هذه الإصلاحات بسهولة فقط عبر إضافة شرطة مائلة إلى الحمولة الخبيثة، ما يدل على ضعف التحديثات السابقة.
مايكروسوفت سارعت إلى معالجة الوضع عبر إطلاق تحديثات أمنية جديدة بعد أن تأكدت من وجود استغلال فعلي، وأعطت لهذه الثغرات رمزي CVE-2025-53770 و CVE-2025-53771.
لكن خلال المدة القصيرة بين بداية الاستغلال وتطبيق التحديثات الجديدة، وقعت هجمات بالفعل على خوادم SharePoint، مما يسلط الضوء على أهمية التدخل العاجل عند ظهور ثغرات من هذا النوع.
كاسبرسكي تتوقع أن يواصل المهاجمون استغلال هذه السلسلة من الثغرات لسنوات، نظرًا إلى تشابهها مع ثغرات شهيرة لم تختفِ آثارها بعد، مثل ProxyLogon وPrintNightmare وEternalBlue، التي ما زالت تهدد الأنظمة غير المحدّثة حتى اليوم.
الباحث الأمني بوريس لارين حذر من أن سهولة استغلال ثغرات ToolShell قد تجعلها جزءًا من أدوات اختبار الاختراق الشائعة، وهو ما يزيد من احتمالية استخدامها على نطاق واسع من قبل المهاجمين.
ولتفادي المخاطر، يشدد خبراء كاسبرسكي على ضرورة الإسراع بتطبيق التحديثات الأمنية الأخيرة، خاصة تلك المرتبطة بثغرات بالغة الخطورة، حيث إن أي تأخير، ولو قصير، قد يفتح الباب أمام اختراقات يصعب تداركها.
كما ينصحون بالاعتماد على حلول أمن سيبراني متقدمة قادرة على رصد ومحاصرة هجمات يوم الصفر، مثل حلول Kaspersky Next التي تعتمد على تقنيات ذكية لاكتشاف السلوكيات المشبوهة ومنعها قبل وقوع الضرر.
في النهاية، تؤكد هذه القضية أن اكتشاف الثغرات لا يعني بالضرورة نهايتها، فغياب التحديث الشامل أو التأخر في تطبيقه قد يترك الباب مفتوحًا للهجمات. المؤسسات التي تعتمد على SharePoint أو أي نظام مشابه يجب أن تجعل التحديثات الأمنية أولوية قصوى، ليس فقط لحماية بياناتها، بل لضمان استمرارية أعمالها في بيئة رقمية تزداد تعقيدًا وخطورة يومًا بعد يوم.
