قراصنة روس يستغلون ثغرة جديدة في مايكروسوفت أوفيس رغم طرح التحديثات

كشفت منصة BleepingComputer أن فريق الاستجابة لطوارئ الحاسبات في أوكرانيا CERT‑UA حذر من أن قراصنة مرتبطين بروسيا يستغلون ثغرة خطيرة في مايكروسوفت أوفيس، تحمل الرمز CVE‑2026‑21509، رغم أن مايكروسوفت أصدرت تحديثًا طارئًا لسدها في 26 يناير الماضي. 

أوضحت المنصة أن الثغرة تصنف على أنها “ثغرة يوم‑صفر” في خاصية أمنية داخل أوفيس، وتؤثر في عدة إصدارات، من بينها Office 2016 و2019 وإصدارات LTSC 2021 وLTSC 2024 بالإضافة إلى تطبيقات Microsoft 365 للحسابات المؤسسية.

رسائل تصيّد تستهدف جهات حكومية في أوكرانيا وأوروبا

أشارت CERT‑UA، بحسب ما نقلته BleepingComputer، إلى أنها رصدت بعد ثلاثة أيام فقط من تحذير مايكروسوفت حملة بريد إلكتروني خبيثة تستخدم ملفات Word (DOC) معدة خصيصًا لاستغلال الثغرة. 

أوضحت الوكالة أن بعض هذه الرسائل حمل عناوين تتعلق باجتماعات COREPER الخاصة بالاتحاد الأوروبي في أوكرانيا، بينما انتحلت رسائل أخرى هوية “المركز الأوكراني للأرصاد الجوية والهيدرولوجيا”، وتم إرسالها إلى أكثر من 60 عنوان بريد إلكتروني تابع لجهات حكومية أو مرتبطة بالحكومة.

أكد التقرير أن تحليل البيانات الوصفية (Metadata) للملفات الخبيثة أظهر أنها أُنشئت بعد يوم واحد فقط من إصدار التحديث الأمني، ما يشير إلى سرعة استغلال المهاجمين للثغرة قبل أن تتمكن كل المؤسسات المستهدفة من تثبيت التصحيح.

آلية الهجوم: مهام مجدولة و DLL خبيث وإطلاق أداة COVENANT

أوضحت BleepingComputer أن استغلال الثغرة يبدأ عند فتح ملف أوفيس مصاب، حيث يجري تفعيل سلسلة أوامر تؤدي في النهاية إلى إنشاء “مهمة مجدولة” داخل النظام (Scheduled Task). 

أشارت CERT‑UA في تقريرها إلى أن تنفيذ هذه المهمة يؤدي إلى إيقاف عملية explorer.exe المسؤولة عن واجهة ويندوز ثم إعادة تشغيلها، وبالاستفادة من تقنية معروفة باسم COM hijacking يتم تحميل ملف مكتبة ديناميكية DLL يحمل اسم EhStoreShell.dll.

أكدت الوكالة أن هذا الملف يقوم بتنفيذ شيفرة خبيثة (Shellcode) مدمجة داخل صورة، ليجري بعد ذلك تشغيل إطار عمل اختراق يُعرف باسم COVENANT على جهاز الضحية، وهو إطار يستخدمه المهاجمون عادة لإنشاء “باب خلفي” يسمح بالتحكم عن بعد في النظام، وتنفيذ أوامر إضافية، وجمع بيانات حساسة من الأجهزة المصابة.

مجموعة APT28 وامتداد الهجمات خارج أوكرانيا

أشارت تحقيقات لاحقة نقلتها BleepingComputer عن CERT‑UA وجهات أمنية أخرى إلى أن الهجمات مرتبطة بمجموعة تهديد متقدمة تُعرف باسم APT28، يُعتقد على نطاق واسع أنها مدعومة من الدولة الروسية. 

أوضح التقرير أن محللي الأمن السيبراني رصدوا استخدام ثلاثة مستندات إضافية في هجمات استهدفت منظمات في دول أوروبية أخرى، ما يعني أن الحملة لا تقتصر على أوكرانيا وحدها، بل تمتد إلى دول في أوروبا الوسطى والشرقية، وفقًا لنتائج رصد من شركات مثل Zscaler ThreatLabz.

أكدت هذه التحقيقات أن بعض النطاقات (Domains) المستخدمة لاستضافة البنية التحتية للهجوم تم تسجيلها في اليوم نفسه الذي أطلقت فيه الحملة، وهو ما يعكس مستوى إعداد مسبق وتنسيق عالٍ في إدارة البنية الخلفية للهجمات.

توصيات عاجلة بتثبيت التحديث وإعادة تشغيل أوفيس

أكدت BleepingComputer أن الجهات الأمنية أوصت المؤسسات والشركات والأفراد الذين يستخدمون إصدارات مايكروسوفت أوفيس المتأثرة بتطبيق آخر التحديثات الأمنية فورًا للحد من مخاطر الاستغلال. 

أوضحت التقارير أن مستخدمي Office 2021 والإصدارات الأحدث من حزمة مايكروسوفت 365 يحصلون على حماية جزئية عبر تغييرات على مستوى خوادم مايكروسوفت، لكن يتعين عليهم إعادة تشغيل تطبيقات أوفيس حتى تُطبَّق هذه التغييرات فعليًا، في حين يحتاج مستخدمو Office 2016 و2019 إلى تثبيت تصحيحات محددة أو تطبيق حلول بديلة مؤقتة إلى حين استكمال إصدار جميع التحديثات