ثغرة أمنية في مايكروسوفت أوفيس (CVE-2026-21509): ما الذي تعلمه موجة الاستغلال السريع للمدافعين

أصدرت مايكروسوفت تحديثًا طارئًا خارج النطاق الرسمي لمعالجة ثغرة أمنية في مايكروسوفت أوفيس في 26 يناير، ويقول فريق الاستجابة للطوارئ الحاسوبية الأوكراني (CERT) إن المهاجمين سارعوا إلى استغلالها كسلاح. تُذكّرنا هذه القضية بمدى ضيق الفترة الزمنية بين "الاعتراف العلني بالثغرة الأمنية" و"بدء حملات الاختراق"، لا سيما عندما تكون الجهات المستهدفة هي المؤسسات الحكومية والسياسية.

إن الطريقة الأكثر فائدة لقراءة حوادث كهذه ليست كخطأ معزول في Office، ولكن كدليل لعب مألوف: مستندات ذات طابع واقعي، وتسليمها إلى قائمة منسقة من المستلمين، وسلسلة تنفيذ متعددة الخطوات تحاول الاندماج في سلوك Windows العادي.

ما الذي تم الإبلاغ عنه بخصوص CVE-2026-21509؟

بحسب تقرير موقع BleepingComputer وتقرير مركز الاستجابة للطوارئ الحاسوبية في أوهايو (CERT-UA)، فإن النقاط الرئيسية في الجدول الزمني تبدو كالتالي:

• 26 يناير:أصدرت مايكروسوفت تحديثًا طارئًا خارج النطاق ووضعت علامةCVE-2026-21509كـيوم الصفرتحت الاستغلال النشط.
• في غضون أيام:يكشف مركز CERT-UA عن مستندات Word خبيثة تستغل الثغرة الأمنية.
• ليست هذه الطُعم رسائل بريد إلكتروني عشوائية. أحد المواضيع المشار إليهامشاورات لجنة الممثلين الدائمين في الاتحاد الأوروبيرسائل أخرى تتعلق بأوكرانيا، ورسائل أخرى انتحلت شخصيةالمركز الأوكراني للأرصاد الجوية المائية، والذهاب إلى عشرات العناوين المرتبطة بالحكومة.

عزا مركز الاستجابة للطوارئ الحاسوبية في أوهايو (CERT-UA) النشاط إلىAPT28(المعروف أيضًا باسمدب فاخر/أريكة(مرتبط في التقارير العامة بجهاز الاستخبارات العسكرية الروسية).

الخلاصة: بمجرد صدور تحديث لمعالجة ثغرة أمنية معروفة، غالباً ما يعتبر المدافعون ذلك بمثابة "زوال الخطر". في الواقع، يمكن أن تكون تلك اللحظة أيضاً إشارة للمهاجم بأن تفاصيل الاستغلال ستصبح أسهل في إعادة إنتاجها أو مشاركتها أو هندستها عكسياً.

كيف لا تزال هجمات Office فعّالة في عام 2026: استدراج المستندات وحدود الثقة

لا تزال مستندات المكتب وسيلة توصيل ذات تأثير كبير لأنها تقع في نقطة مثالية:

• إنها جزء طبيعي من سير العمل في الشركات والحكومة.
• اعتاد المستخدمون على فتحها بسرعة.
• ويمكن أن تحمل محتوى يبدو ذا مصداقية (جداول أعمال الاجتماعات، مسودات السياسات، المذكرات الداخلية).

لقد جعلت أنظمة الحماية الحديثة في Office الهجمات البسيطة القائمة على وحدات الماكرو أقل موثوقية في العديد من البيئات، لذلك غالبًا ما تتحول الحملات إلى حدود ثقة مختلفة:

• استغلال أخطاء التحليل/العرضيتم تشغيل ذلك عند الفتح أو عند المعاينة.
• إساءة استخدام الميزات التي تدعمها الشبكة(مثل القوالب البعيدة، أو WebDAV، أو جلب المحتوى الخارجي) لسحب حمولات المرحلة الثانية.
• الاستفادة من مكونات ويندوز(كائنات COM، والمهام المجدولة، وترتيب البحث عن DLL) للاستمرار أو التنفيذ.

في هذا التقرير، تتضمن سلسلة التوريد ما يلي:تنزيل قائم على بروتوكول WebDAVالخطوة ثم تقنيات "العيش على الأرض" (اختطاف COM، والمهام المجدولة) التي تحاول أن تبدو كسلوك النظام الطبيعي.

سلسلة التنفيذ التي وصفها مركز الاستجابة للطوارئ الحاسوبية (CERT-UA) (ولماذا يصعب اكتشافها)

يلخص موقع BleepingComputer نتائج CERT-UA على أنها سلسلة متعددة الخطوات تتضمن ما يلي:

• WebDAVسلوك التنزيل
• اختطاف موقع COM(طريقة لإعادة توجيه تحميل كائن COM شرعي إلى رمز يتحكم فيه المهاجم)
• ملف DLL خبيث باسمEhStoreShell.dll
• شفرة برمجية مخفية داخل ملف صورة (يُسمىSplashScreen.png)
• مهمة مجدولة (تم الإبلاغ عنها على النحو التالي)OneDrive للصحة) الذي يساعد على بدء التنفيذ والاستمرار

حتى بدون تكرار الخطوات التقنية الدقيقة، يمكنك رؤية الاستراتيجية:

1. لا تقم بإسقاط ملف تنفيذي واحد واضح وتشغيله.
2. ادمج مع اصطلاحات نظام التشغيل ويندوز (ملفات DLL، والمهام المجدولة، وإعادة تشغيل مستكشف الملفات).
3. اجعل الحمولة "المثيرة للاهتمام" تظهر متأخرة (شفرة برمجية داخل صورة، وإطار عمل مُجهز لاحقاً).

هذا الأسلوب ذو قيمة للمهاجمين لأنه يعطل الدفاعات البسيطة التي تركز فقط على امتدادات الملفات أو على اكتشاف الملفات التنفيذية الخبيثة بشكل واضح.

لماذا يُعدّ "الترقيع السريع" ضروريًا ولكنه غير كافٍ؟

قد يميل البعض إلى اختزال الاستجابة إلى "تطبيق التحديث"، وهذا لا يزال الإجراء الأساسي. ولكن في المؤسسات الحقيقية، ينطوي تطبيق التحديثات على بعض الصعوبات.

• بعض نقاط النهاية غير متصلة بالإنترنت أو غير مُدارة
• بعض الأنظمة الحيوية للأعمال تستغرق وقتاً طويلاً لإعادة التشغيل.
• يُبقي بعض المستخدمين التطبيقات مفتوحة، مما يمنع تطبيق التحديثات.

توضح هذه الحملة سبب أهمية الضوابط متعددة الطبقات:

• حماية العرض المحمي / حماية علامة الويب:استثمرت مايكروسوفت في منع "الملفات القادمة من الإنترنت" من التصرف كمستندات موثوقة. ولا يُجدي ذلك نفعاً إلا إذا حصل الملف على علامات المصدر الصحيحة، ولم يتمكن المستخدمون من تجاوزها بسهولة.
• مراقبة الخروج:أشار مركز الاستجابة للطوارئ الحاسوبية في أوهايو إلى استخدامفيلين (filen.io)باعتبارها بنية تحتية للتحكم والسيطرة. حتى لو لم تتمكن من حظر خدمات الحوسبة السحابية بشكل كامل، فإن مراقبة نقاط النهاية والأنماط غير المعتادة يمكن أن توفر لك مسارًا للكشف عندما يتم تفويت مؤشرات نقاط النهاية.
• التحكم في الامتيازات والتطبيقات:كلما زادت قدرتك على تقييد ما يمكن أن تقوم به عمليات Office والعمليات ذات الصلة أو تحميلها (خاصة في الأقسام عالية المخاطر)، كلما قلصت خيارات المهاجم.

بمعنى آخر: إن التحديث يغلق الباب الأمامي، لكن المهاجم الماهر غالباً ما يحاول فتح النوافذ والأبواب الجانبية حتى يصل إلى الجهاز الوحيد الذي تأخر في التحديث.

ما يمكن للمدافعين فعله فوراً (عملي، وليس ذعراً)

إذا كنت تعمل في مؤسسة تستخدم برامج Office على نطاق واسع، فإن الإجراءات التي عادة ما تؤتي ثمارها تكون مملة وقابلة للقياس:

1. تأكد من تغطية الرقعةبالنسبة لإصدارات Office 2016/2019/LTSC وتطبيقات Microsoft 365 عبر نقاط النهاية.
2. يتطلب إعادة تشغيل التطبيقحيث يتطلب نموذج تحديث مايكروسوفت وجودها حتى يسري مفعول الإصلاح.
3. البحث عن المهام المجدولة الشاذة(خاصة تلك التي تحاكي أسماء المنتجات الشرعية) وأنماط إعادة تشغيل مستكشف الملفات غير المعتادة على نقاط النهاية التي فتحت مستندات خارجية حديثة.
4. مراجعة مدى تعرض WebDAVوالسياسة. إذا لم تكن هناك حاجة إلى WebDAV، فقم بتعطيله أو تقييده. أما إذا كانت هناك حاجة إليه، فركز على المراقبة وقوائم السماح.
5. أضف خاصية الكشف عن مؤشرات الاختراق المعروفةمن تقرير CERT-UA كإجراء قصير المدى، وترجمتها إلى قواعد قائمة على السلوك بمرور الوقت.

لا يوجد شيء مثالي من هذه الأمور، لكنها مجتمعة تحول "فتح مستخدم واحد ملفًا واحدًا" إلى حدث من المرجح أن يتم احتواؤه.

لماذا يُعد هذا الأمر مهمًا خارج أوكرانيا؟

أشارت تحقيقات فريق الاستجابة للطوارئ الحاسوبية في أوهايو (CERT-UA) إلى استخدام وثائق إضافية لاستهداف...المنظمات التي تتخذ من الاتحاد الأوروبي مقراً لهاليس فقط الكيانات الأوكرانية. وهذا يتوافق مع كيفية توسع الحملات ذات الدوافع الجيوسياسية:

• ابدأ بالأهداف الأكثر وضوحاً.
• إعادة استخدام البنية التحتية والأدوات ضد المجموعات المجاورة (الشركاء والمؤسسات والهيئات الدولية).
• قم بالتكرار بناءً على ما ينجح.

بالنسبة للمدافعين خارج منطقة الصراع المباشرة، هذا هو الدرس الرئيسي: يمكن أن تظهر سلسلة الاستغلال نفسها في بيئتك حتى لو لم تكن أنت "الهدف الرئيسي".

خلاصة القول

لا يُنهي تحديث اليوم الصفري القصة، بل غالبًا ما يُشعل سباقًا. فعندما يتم التأكد من استغلال ثغرة أمنية بشكل فعلي، تكون الفترة الحرجة هي الأيام والأسابيع الأولى بعد الكشف عنها، حيث يقوم المهاجمون بتحديث أساليب الإغراء، بينما لا يزال المدافعون يحاولون الوصول إلى تغطية كاملة للتحديثات.

---

مصادر

• https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/
• http://cert.gov.ua/article/6287250