ثغرة أمنية غير مصححة في ويندوز تستغلها 11 مجموعة تهديد مدعومة من دول منذ عام 2017

ثغرة أمنية غير مصححة في ويندوز تستغلها 11 مجموعة تهديد مدعومة من دول منذ عام 2017

ثغرة أمنية غير مصححة في ويندوز تستغلها 11 مجموعة تهديد مدعومة من دول منذ عام 2017

تم اكتشاف ثغرة أمنية غير مصححة في نظام ويندوز تُعرف باسم ZDI-CAN-25373، والتي استغلتها 11 مجموعة تهديد مدعومة من حكومات منذ عام 2017. تسمح هذه الثغرة للمهاجمين بتنفيذ أوامر برمجية مخفية عبر ملفات .LNK، مما يجعلها تهديدًا خطيرًا للأمن السيبراني. على الرغم من المخاطر، لم تصدر مايكروسوفت تصحيحًا لهذه الثغرة، مما يجبر المستخدمين على اتخاذ تدابير أمنية لحماية أجهزتهم من الاستغلال.

اكتشف الباحثون الأمنيون ثغرة خطيرة في نظام تشغيل ويندوز تُعرف باسم ZDI-CAN-25373. منذ عام 2017، استغلت 11 مجموعة تهديد مدعومة من حكومات هذه الثغرة لاستهداف مؤسسات حكومية، مالية، ودفاعية. استغل المهاجمون هذه الثغرة لتنفيذ أوامر خبيثة عبر ملفات اختصار ويندوز (.LNK)، مما سهل عمليات التجسس وسرقة البيانات. رغم خطورة المشكلة، رفضت مايكروسوفت إصدار تصحيح أمني لها، مما يترك المستخدمين عرضة للاستغلال.

تفاصيل الثغرة الأمنية ZDI-CAN-25373

تسمح هذه الثغرة للمهاجمين بتضمين أوامر برمجية خبيثة داخل ملفات الاختصار (.LNK). بمجرد فتح المستخدم للملف المصاب، يتم تشغيل الأكواد الخبيثة تلقائيًا. يعتمد المهاجمون على إدخال أحرف خاصة، مثل تغذية السطر (\x0A) وإرجاع العربة (\x0D)، لجعل اكتشافها أكثر تعقيدًا. بالإضافة إلى ذلك، تساعد هذه الطريقة في تجاوز آليات الأمان التقليدية، مما يمنح المهاجمين قدرة أكبر على تنفيذ هجماتهم دون إثارة الشكوك.

المجموعات التي استغلت الثغرة

أكدت التحليلات أن العديد من المجموعات المدعومة من حكومات مختلفة استخدمت هذه الثغرة لتحقيق أهدافها السيبرانية. تركز نشاط أغلب هذه المجموعات في كوريا الشمالية، بينما استفادت جهات أخرى من الصين، روسيا، وإيران من هذه الثغرة لتعزيز عملياتها السيبرانية. من أبرز هذه المجموعات:

  • Evil Corp (Water Asena)
  • Kimsuky (Earth Kumiho)
  • Konni (Earth Imp)
  • Bitter (Earth Anansi)
  • ScarCruft (Earth Manticore)

الأهداف المستهدفة بالهجمات

اعتمدت هذه المجموعات على الثغرة لمهاجمة كيانات استراتيجية بهدف التجسس، سرقة البيانات، وتنفيذ أنشطة مالية غير مشروعة. تضمنت الأهداف الرئيسية:

  • الحكومات والوكالات الأمنية
  • المؤسسات المالية والبنوك
  • مراكز الأبحاث والتطوير
  • مزودو خدمات الاتصالات
  • الشركات التكنولوجية الكبرى

انتشرت هذه الهجمات في عدة دول، حيث شهدت الولايات المتحدة، كندا، روسيا، كوريا الجنوبية، فيتنام، والبرازيل نشاطًا مكثفًا للمهاجمين.

آلية الهجوم والبرمجيات الضارة المستخدمة

اعتمد المهاجمون على ملفات .LNK كوسيلة فعالة لنشر برمجيات خبيثة متقدمة. تضمنت الأدوات المستخدمة في هذه الهجمات:

  • Lumma Stealer، والتي تُستخدم لاستخلاص بيانات المستخدمين والمعلومات الحساسة.
  • GuLoader، التي تساعد في تحميل برمجيات خبيثة إضافية إلى الأجهزة المصابة.
  • Remcos RAT، التي تتيح للمهاجمين التحكم الكامل في الجهاز عن بُعد.

إضافة إلى ذلك، استخدمت مجموعة Evil Corp هذه الثغرة لتوزيع برمجية Raspberry Robin، والتي تعمل على اختراق الشبكات وجمع البيانات السرية.

رد مايكروسوفت وعدم إصدار تصحيح

على الرغم من خطورة هذه الثغرة، صنفتها مايكروسوفت على أنها منخفضة التأثير، مما جعلها تتجنب إصدار تحديث أمني لها. وفقًا لمايكروسوفت، تتعلق المشكلة بتمثيل واجهة المستخدم لمعلومات حاسمة (CWE-451)، حيث لا تعرض أنظمة ويندوز التحذيرات المناسبة عند تشغيل الملفات المصابة.

مع ذلك، يرى خبراء الأمن أن استمرار استغلال هذه الثغرة يشكل تهديدًا متزايدًا، خاصة مع التطور المستمر في أساليب المهاجمين. في ظل هذا الوضع، تصبح حماية المستخدمين مسؤولية كبيرة تقع على عاتق المؤسسات وأفراد المجتمع السيبراني.

كيفية حماية جهازك من هذه الهجمات

نظرًا لعدم توفر تصحيح رسمي لهذه الثغرة، يجب على المستخدمين اتخاذ إجراءات احترازية لمنع استغلالها. تشمل أبرز التدابير الوقائية:

1. تجنب فتح ملفات .LNK من مصادر غير موثوقة

يُنصح بعدم تشغيل أي ملف اختصار مجهول المصدر، خاصة إذا تم استلامه عبر البريد الإلكتروني أو روابط خارجية.

2. استخدام برامج مكافحة الفيروسات المتقدمة

يمكن أن تساعد أدوات الأمان الحديثة، مثل Microsoft Defender وMalwarebytes، في اكتشاف وحظر الملفات المشبوهة قبل أن تتسبب في ضرر.

3. تمكين مراقبة الأنشطة المشبوهة على الشبكة

استخدام أنظمة كشف التسلل (IDS) وجدران الحماية المتقدمة يمكن أن يساعد في التعرف على النشاطات غير الطبيعية التي قد تشير إلى استغلال الثغرة.

4. تثبيت التحديثات الأمنية الأخرى بانتظام

رغم عدم توفر تصحيح لهذه الثغرة، يجب تثبيت كافة التحديثات الأمنية الأخرى التي تصدرها مايكروسوفت لتقليل مخاطر استغلال ثغرات أخرى في النظام.

5. توعية الموظفين حول التهديدات السيبرانية

يعد تدريب الموظفين على التعرف على رسائل التصيد الاحتيالي، تجنب فتح الملفات المشبوهة، والالتزام بأفضل ممارسات الأمن السيبراني، من أهم التدابير الوقائية.

ماذا تعني هذه الثغرة لمستخدمي ويندوز؟

يشير استغلال الثغرة ZDI-CAN-25373 إلى الحاجة المتزايدة لرفع مستوى الوعي حول التهديدات السيبرانية. مع استمرار المهاجمين في تطوير أدواتهم، تصبح الحماية مسؤولية جماعية تتطلب استراتيجيات متقدمة لضمان أمن البيانات.

لذلك، ينبغي على المؤسسات والأفراد تنفيذ تدابير وقائية، مثل مراقبة الأنشطة المشبوهة، استخدام حلول أمان متطورة، وتعزيز الوعي السيبراني.

توضح هذه الثغرة أن التهديدات السيبرانية تتطور بسرعة، مما يتطلب استجابة فورية واستراتيجيات دفاعية قوية. رغم عدم إصدار مايكروسوفت تصحيحًا لهذه الثغرة، يجب على المستخدمين والشركات اتخاذ خطوات استباقية لحماية بياناتهم من أي استغلال محتمل.

لذا، يُنصح جميع المستخدمين بتعزيز إجراءات الحماية، تجنب فتح الملفات المشبوهة، وتحديث برامج الأمان باستمرار. في النهاية، يبقى الوعي واليقظة عنصرين أساسيين لتجنب الوقوع ضحية لهذه الهجمات السيبرانية المتقدمة.

نسخ رابط المقالة

شارك

المزيد من المقالات