كشف باحثون في الأمن السيبراني عن سلسلة ثغرات خطيرة في SharePoint تُعرف باسم ToolShell، جرى استغلالها فعليًا منذ يوليو 2025، وأدت في بعض الحالات إلى نشر برمجية Warlock، وهي نسخة مشتقة ومخصصة من LockBit 3.0.
وبحسب شركة Trend Micro، فقد ظهر اسم المجموعة المرتبطة بـ Warlock لأول مرة في منتدى RAMP الناطق بالروسية في يونيو 2025، وسرعان ما تحولت من إعلان جريء إلى تهديد عالمي متنامٍ، مع حملات أكثر تعقيدًا استهدفت ثغرات SharePoint لتصعد إلى واجهة المشهد.
خطورة الثغرات وتأثيرها
تؤثر سلسلة ثغرات ToolShell على إصدارات SharePoint Server 2016 و2019 وSubscription Edition، وتتيح تنفيذ أوامر عن بُعد دون مصادقة، إضافة إلى تجاوز آليات الحماية الأمنية.
ووصفت شركة Trellix هذه السلسلة بأنها “إحدى أخطر التهديدات الأمنية التي واجهتها SharePoint في السنوات الأخيرة”، إذ يجتمع فيها عنصران بالغي الخطورة: تنفيذ التعليمات البرمجية عن بُعد بلا مصادقة وسرقة المفاتيح التشفيرية، وهو ما يخلق “عاصفة مثالية” للاختراق المستمر والتنقل الجانبي داخل الشبكات المصابة.
