ثغرات SharePoint القديمة تهدد الأمن السيبراني من جديد بإصلاح غير مكتمل

كاسبرسكي

ياسين عبد العزيز

A A

أعاد تقرير جديد صادر عن شركة "كاسبرسكي" فتح ملف ثغرات برنامج "SharePoint" التابع لمايكروسوفت، بعد أن تبيّن أن الاستغلالات الأخيرة المرتبطة بأداة "ToolShell" تعتمد على ثغرة أمنية قديمة تم رصدها في عام 2020، ولم يُعالج إصلاحها بشكل كامل، حيث كشف فريق الأبحاث والتحليل العالمي (GReAT) التابع لكاسبرسكي أن الهجمات الجديدة تستغل ثغرة "CVE-2020-1147"، ما يشير إلى خلل كبير في استجابة مايكروسوفت السابقة لهذه الثغرة، ويطرح تساؤلات حول فعالية آليات التصحيح في مواجهة التهديدات السيبرانية المتجددة.

نشاط مكثف

رصدت شبكة كاسبرسكي الأمنية محاولات نشطة لاستغلال هذه الثغرات في العديد من الدول، من بينها مصر، والأردن، وروسيا، وفيتنام، وزامبيا، وقد استهدفت هذه الهجمات مؤسسات حيوية تعمل في قطاعات حكومية ومالية وصناعية، إلى جانب قطاعات الغابات والزراعة.

وتظهر تحليلات كاسبرسكي أن هذه الهجمات كانت تستهدف الثغرات الأمنية المرتبطة بأداة ToolShell التي تُستخدم لاختراق خوادم SharePoint، وهو ما أتاح للمهاجمين الوصول إلى الأنظمة الداخلية للمؤسسات المستهدفة.

وعلى الرغم من عدم الكشف العلني عن هذه الثغرات في البداية، إلا أن حلول كاسبرسكي الأمنية تمكنت من رصد الهجمات والتصدي لها مسبقًا، مما يعكس فعالية منظومتها الدفاعية في الكشف المبكر عن التهديدات، ويؤكد الدور الحيوي الذي تلعبه هذه الحلول في تعزيز الأمن السيبراني للمؤسسات المختلفة.

إصلاح غير مكتمل

أظهرت تحليلات كاسبرسكي أن كود الاستغلال المستخدم في الهجمات الحالية يشبه إلى حد كبير الكود الذي استُخدم سابقًا في استغلال ثغرة "CVE-2020-1147"، مما يشير إلى أن التحديث الأمني الجديد الذي صدر تحت رمز "CVE-2025-53770" لم يكن سوى محاولة متأخرة لسد فجوة أمنية قائمة منذ خمس سنوات.

ويبدو أن التحديثات التي أُصدرت في الثامن من يوليو تحت رمزي "CVE-2025-49704" و"CVE-2025-49706"، لم تتمكن من إغلاق الثغرات بشكل فعّال، إذ تبيّن أن بإمكان المهاجمين تجاوزها باستخدام رمز بسيط مثل الشرطة المائلة "/" ضمن الحمولة الخبيثة، الأمر الذي يكشف هشاشة تلك التحديثات وعدم كفايتها لاحتواء الخطر.

تحرك متأخر

بعد التأكد من وجود نشاط استغلالي متزايد لهذه الثغرات، سارعت مايكروسوفت إلى إصدار تحديثات شاملة لمعالجة طرق الالتفاف التي استُخدمت ضد الإصلاحات السابقة، وتم تخصيص رمزي "CVE-2025-53770" و"CVE-2025-53771" لهذين التحديثين.

ولكن، كانت موجة الهجمات قد ضربت بالفعل العديد من خوادم SharePoint عالميًا خلال الفترة الفاصلة بين بداية الاستغلال وصدور التحديثات، مما يسلط الضوء على أهمية التحرك السريع والاستباقي في مواجهة التهديدات المتقدمة.

وبحسب توقعات كاسبرسكي، فإن المهاجمين سيواصلون استغلال هذه السلسلة من الثغرات لفترات طويلة، تمامًا كما حدث مع ثغرات شهيرة أخرى مثل ProxyLogon وPrintNightmare وEternalBlue، التي لا تزال تمثل تهديدًا حقيقيًا للأنظمة غير المحدثة، على الرغم من مرور سنوات على اكتشافها.

توصيات حاسمة

وفي سياق متصل، شدد بوريس لارين، الباحث الأمني الرئيسي في فريق GReAT، على خطورة ثغرات ToolShell وسهولة استغلالها، مشيرًا إلى احتمال دمجها قريبًا في أدوات الاختراق واختبار الحماية الشائعة، وهو ما سيزيد من وتيرة الهجمات ويعزز فرص المهاجمين في الوصول إلى أهدافهم.

ولتقليل المخاطر، أوصت كاسبرسكي المؤسسات التي تستخدم SharePoint باتباع خطوات وقائية صارمة، من أهمها تطبيق التحديثات الأمنية فور صدورها دون تأخير، لما لذلك من دور أساسي في منع الاختراقات، إلى جانب الاعتماد على حلول متقدمة قادرة على رصد الهجمات الجديدة والتعامل معها، حتى في حالة عدم توفر تصحيحات رسمية، مثل تقنية "Behavior Detection" التي يوفرها نظام Kaspersky Next.

ويؤكد التقرير في مجمله أن الاستجابة البطيئة أو الإصلاحات غير الكاملة قد تفتح المجال أمام عودة التهديدات القديمة بقوة متجددة، ما يتطلب من المؤسسات تبني نهج استباقي وشامل في إدارة الأمن السيبراني، يُبنى على التحديثات المستمرة والرقابة الدقيقة على الأنظمة المعرضة للخطر.