يبدو أن ممثل التهديد الصيني الذي لم يكشف عن اسمه لا يكشف عن اسمه من بين أولئك الذين يستغلون CVE-2025-53770 (AKA Toolsell) ، ثغرة في تنفيذ الرمز البعيد في Microsoft SharePoint، لإجراء هجمات الإنترنت ، وفقا للذكاء.
لأنه ظهر خلال عطلة نهاية الأسبوع من 19-20 يوليو، إن الطبيعة التي تم الإعلان عنها بشكل كبير لـ CVE-2015-53770 ، التي تتجاوز اثنين من العيوب التي تم تصحيحها مسبقًا ، لفتت انتباه ممثلي التهديدات بفضل الخطر الكبير الذي تشكله ، وحقيقة أن تصحيح Microsoft لا يمكنه التخفيف تمامًا من هذا.
تشارلز كارماكال ، كبير مسؤولي التكنولوجيا استشارات مانعة في Google Cloud ، قال إن المؤسسة تتتبع مجموعة متنوعة من المجموعات التي تقوم بالتحقيق في حالات SharePoint ومهاجمةها حول العالم.
وقال “نقيم أن أحد الجهات الفاعلة على الأقل المسؤولة عن هذا الاستغلال المبكر هو ممثل تهديد الصين”. “من الأهمية بمكان أن نفهم أن العديد من الجهات الفاعلة تستغل الآن بنشاط هذه الضعف. نتوقع تمامًا أن يستمر هذا الاتجاه ، حيث أن مختلف الممثلين التهديدين الآخرين ، الدافع وراء دوافع متنوعة ، سوف يستفيد من هذا الاستغلال أيضًا.”
وقال كارماكال ، في مشاركة أفكاره حول LinkedIn ، إنه يعاني الهجمات على خادم Microsoft Exchange تم استخدام ثلاثة مآثر ليوم الصفر من قبل الصين إعصار الحرير (AKA APT27 ، Hafnium) مجموعة التهديد المستمر المتقدم (APT) لضرب الآلاف من الضحايا.
كرر Carmakal النصيحة العامة ليس فقط التصحيح CVE-2025-53770-و CVE-2025-53771 المرتبطة ارتباطًا وثيقًا-على الفور ، ولكن أيضًا لتدوير مفاتيح آلة ASP.NET SharePoint كمسألة من الإلحاح.
وأضاف أنه يجب على المدافعين الاستعداد لكثير من سجلات الأمان الصاخبة مع مجموعات منفصلة متعددة من النشاط التي تستهدف مثيلاتهم في SharePoint. وقال إن بعض هذا سيكون بلا شك ضارًا ، لكن بعضها قد يكون باحثين أمنية شرعيين يعملون في المشكلة.
في الساعات القليلة الماضية ، أصدرت Microsoft أيضًا إصلاحات تغطي جميع الإصدارات المدعومة من SharePoint ، والتي لم تكن متوفرة من قبل. مزيد من المعلومات متاح من المصدر هنا.
النطاق في جميع أنحاء العالم
احتياطي تقييم مانديانت ، باحثين في Bitdefender وقال أبحاثهم في مجال الكشف والاستجابة للاستجابة والقياس عن بُعد تُظهر تنازلات تحدث في جميع أنحاء أوروبا والشرق الأوسط وأمريكا الشمالية.
وقال متحدث باسم “Bitdefender يحذر من أن النشاط الفريد أو أي نشاط آخر بعد الاستغلال قد يتبع أيامًا أو أسابيع بعد الوصول الأولي ، مما يجعل الكشف السريع والاستجابة ضروريين”.
الحارس أخبر Computer Weekly أن تتبع ثلاث مجموعات هجومية متميزة تستهدف الوصول إلى WebShell SharePoint ، وحصاد بيانات الاعتماد عبر استخراج مفتاح الماكينة ، والتنفيذ الأكثر شبحًا في الذاكرة.
أبلغ الباحثون عن ضحاياها في الصناعات الحرجة ، بما في ذلك البنية التحتية والتكنولوجيا والهندسة ، ودعموا تقييم مانديانت بأن الممثلين في الدولة القومية قد قاموا بسلاح الخلل. قال فريق Sentinelone إنهم لاحظوا العديد من الجهات الفاعلة المحاذاة في الدول القومية التي تشارك الآن في استغلال المرحلة المبكرة.
وكتب الباحثون في سينتينيلون سيمون كينين وجيم والتر وتوم هيجل: “تشير الأهداف المبكرة إلى أن النشاط كان انتقائيًا بعناية في البداية ، ويهدف إلى المنظمات ذات القيمة الاستراتيجية أو الوصول المرتفع”.
وقالوا: “النشاط الذي أعقب الإفصاح العام هو انتهازي ومن المحتمل أن يكون مرتبطًا بالأصل الذي وصفناه هنا”. “نتوقع أن تتسارع محاولات استغلال أوسع.”
وفقًا لتحليلهم ، يقف الممثلون للتهديدات أيضًا في بيئات Honeypot Decoy لجمع واختبار تطبيقات استغلال ، وتبادل الأدوات و TradEcraft فيما بينها.
سندفع السعر جميعًا
على الرغم من أن ضحايا الموجة الحالية من الهجمات لم يُعرفوا بعد ، إلا أن Marijus Briedis ، كبير مسؤولي التكنولوجيا في Nordvpnقال إنه في النهاية ، سيعاني الأشخاص العاديون – الذين لم يسمع الكثير منهم عن SharePoint – بعواقب هذه القضايا الواسعة النطاق.
وقال: “عندما يتعرض صاحب العمل أو البنك أو مقدم الرعاية الصحية الخاص بك من خلال SharePoint ، يدفع المستهلك السعر”.
“غالبًا ما تتصل خوادم SharePoint بخدمات Microsoft الأخرى مثل Outlook والفرق ، مما يعني أن مثل هذا الانتهاك يمكن أن يؤدي بسرعة إلى سرقة البيانات وحصد كلمة المرور. رسائل البريد الإلكتروني والسجلات المالية والبيانات الطبية مترابطة ، وبمجرد أن يكون المهاجمون في الداخل ، فإنهم يحصد كل شيء.”
وقال بريديس إن المستهلكين لا يستطيعون الاعتماد على المنظمات لحماية بياناتهم ، وحث الناس على اتخاذ خطوات لتأمين أنفسهم.
وأضاف: “استخدم كلمات مرور قوية وفريدة من نوعها وتمكين المصادقة متعددة العوامل كلما كان ذلك ممكنًا ، لأنه على افتراض أن بياناتك سيتم اختراقها في النهاية هي النهج الواقعي الوحيد”.
تم الاتصال بـ Microsoft للتعليق.
