قام خبراء من مختبر Kaspersky بتفكيك موجة جديدة من الهجمات على خوادم Microsoft SharePoint وتوصلوا إلى استنتاج أنها كانت تستند إلى الفجوة القديمة في السنوات الخمس السابقة. قام الباحثون بدراسة استغلال Toolsell ، واستخدمت في الهجمات ووجدوا أوجه التشابه مع CVE-2020-1147.
الإشارة إلى أن CVE-2020-1147 عبارة عن حفرة موجودة في SharePoint في عام 2020. يبدو أن المسافة ليست مغلقة تمامًا ولم يتم تحديث 2025 (CVE-2025-53770) تمامًا.
يوضح تحليل إضافي أن ثقوب CVE-2025-49704 و CVE-2025-49706 ، التي تم إغلاقها في 8 يوليو ، كان لها أيضًا جذر مشترك مع CVE-20147.
علاوة على ذلك ، يمكنك التجول في الدفاع ، فقط إضافة رمز – حول // – إلى الكود. ثم أصدرت Microsoft هذه التصحيحات Skip وخصّصها أرقامها الخاصة.
تم تسجيل هجمات Scharepoint في جميع أنحاء العالم – بما في ذلك في روسيا ومصر والأردن وفيتنام وزامبيا. تأثرت المنظمات من مختلف المناطق: التمويل ، القطاع العام ، الصناعة ، وكذلك الريف والغابات.
على سبيل المثال ، بمساعدة الاستغلال المقابل ، هاجم مجرمو الإنترنت وزارة الأمن الأمريكية. ينطبق الشيء نفسه على محاولة لمهاجمة وزارة الأمن النووي الوطني الأمريكي.
يتذكر الخبراء أن الثقوب القديمة مثل Proxylogon و Printnightmare و EternalBlue لا تزال نشطة من قبل المهاجمين.
إذا لم يتم تثبيت التحديثات في الوقت المحدد ، فإن النظام لا يزال ضعيفًا. من الواضح أن Toolshell يمكن أن تحدث كما هي: تم نشر الاستغلال ، وسهلة الاستخدام ، وعلى الأرجح ، سيظهر قريبًا في الأدوات التي يستخدمها المتسللين.