ثغرة أمنية خطيرة في Windows تستغلها مجموعات قرصنة مدعومة من دول منذ 2017 – ومايكروسوفت ترفض إصلاحها حاليًا

كشف باحثو الأمن السيبراني من شركة Trend Micro عن ثغرة أمنية جديدة في نظام التشغيل Windows يتم استغلالها منذ عام 2017 من قبل 11 مجموعة قرصنة مدعومة من دول، بما في ذلك كوريا الشمالية، إيران، روسيا، والصين، في هجمات تستهدف سرقة البيانات والتجسس الإلكتروني.

ما هي الثغرة وكيف يتم استغلالها؟

تُعرف هذه الثغرة باسم ZDI-CAN-25373، وهي تتيح للمهاجمين تنفيذ أوامر خبيثة على الأجهزة المستهدفة دون علم المستخدم. الثغرة تعتمد على طريقة عرض Windows لملفات الاختصار (.lnk)، حيث يتم إخفاء أوامر ضارة داخل هذه الملفات باستخدام مسافات بيضاء مضافة إلى هيكلة COMMAND_LINE_ARGUMENTS، ما يجعلها غير مرئية عند فحص الملف في الواجهة الرسومية.

وفقًا لـ Trend Micro، فإن أكثر من 1000 عينة من هذه الملفات الخبيثة تم اكتشافها، لكن العدد الفعلي للهجمات قد يكون أعلى بكثير.

من هم المهاجمون وما أهدافهم؟

تشير التحقيقات إلى أن مجموعات قرصنة شهيرة مثل Evil Corp، APT43 (Kimsuky)، Bitter، APT37، Mustang Panda، SideWinder، RedHotel، وKonni قد استغلت هذه الثغرة في هجمات واسعة النطاق.

الهجمات استهدفت مستخدمين في أمريكا الشمالية، أمريكا الجنوبية، أوروبا، شرق آسيا، وأستراليا، وتركزت في:

• 70% منها على عمليات التجسس وسرقة المعلومات.
• 20% على تحقيق مكاسب مالية.

كما تم استخدام برمجيات خبيثة متنوعة مثل Ursnif، Gh0st RAT، وTrickbot، بالإضافة إلى منصات البرمجيات الخبيثة كخدمة (MaaS) التي تُعقّد المشهد الأمني.

رفض مايكروسوفت إصدار إصلاح للثغرة

في سبتمبر 2024، رفضت مايكروسوفت إصدار تحديث أمني لهذه الثغرة، معتبرة أنها “لا تستوفي معايير الصيانة العاجلة”. لكنها أشارت إلى أنها قد تعالجها في تحديث مستقبلي.

وأكد متحدث باسم الشركة لاحقًا أن Windows Defender وميزة Smart App Control توفران طبقة إضافية من الحماية ضد هذه الهجمات، ونصح المستخدمين بتوخي الحذر عند تنزيل ملفات من مصادر غير موثوقة.

مقارنة مع ثغرات سابقة

تشبه هذه الثغرة ثغرة CVE-2024-43461، التي سمحت للمهاجمين بإخفاء أكواد ضارة داخل ملفات HTA باستخدام 26 رمزًا من الأحرف البيضاء المشفرة (\xE2\xA0\x80)، مما مكنهم من تحميل برمجيات ضارة متخفية على أنها ملفات PDF. وقد قامت مايكروسوفت بإصلاحها في تحديث Patch Tuesday لشهر سبتمبر 2024.

كيف تحمي نفسك من الاستغلال؟

• تجنب فتح ملفات .lnk من مصادر غير موثوقة.
• استخدام مضاد فيروسات قوي لفحص الملفات المشبوهة.
• تمكين ميزة Smart App Control لمنع تحميل الملفات الضارة.
• البقاء على اطلاع بآخر التحديثات الأمنية من مايكروسوفت.

الخلاصة

تُعد ثغرة ZDI-CAN-25373 مثالًا على التهديدات المستمرة التي تواجه مستخدمي Windows، خصوصًا مع رفض مايكروسوفت إصلاحها في الوقت الحالي. ومع تصاعد الهجمات الإلكترونية المدعومة من دول، يصبح من الضروري أن يتخذ المستخدمون تدابير أمنية لحماية بياناتهم من الاستغلال.

هل تعتقد أن مايكروسوفت يجب أن تصدر إصلاحًا عاجلًا لهذه الثغرة؟ شاركنا رأيك!

مقالات ذات صلة:

• ريلمي تطلق سلسلة 14 Pro عالميًا مع ميزات كاميرا مدعومة بالذكاء الاصطناعي
• مايكروسوفت تصدر تصحيحات أمنية لـ 63 ثغرة خطيرة في فبراير 2025: تفاصيل ثغرتين قيد الاستغلال
• إطلاق سلسلة Xiaomi 15: أول الهواتف بمعالج Snapdragon 8 Elite وميزات كاميرا محسنة بالتعاون مع Leica
• حظر منصة DeepSeek للذكاء الاصطناعي في عدة دول بسبب مخاوف أمنية وخصوصية البيانات
• تناقص الحصة السوقية لأندرويد مع نمو iOS بشكل كبير