قراصنة مرتبطون بروسيا يستغلون ثغرة يومصفر في مايكروسوفت أوفيس رغم تحديثها
آخر تحديث GMT01:58:38
 السعودية اليوم -

قراصنة مرتبطون بروسيا يستغلون ثغرة يوم-صفر في مايكروسوفت أوفيس رغم تحديثها

 السعودية اليوم -

 السعودية اليوم - قراصنة مرتبطون بروسيا يستغلون ثغرة يوم-صفر في مايكروسوفت أوفيس رغم تحديثها

شركة مايكروسوفت
واشنطن - السعودية اليوم

كشفت منصة BleepingComputer أن فريق الاستجابة لطوارئ الحاسبات في أوكرانيا CERT‑UA حذر من أن قراصنة مرتبطين بروسيا يستغلون ثغرة خطيرة في مايكروسوفت أوفيس، تحمل الرمز CVE‑2026‑21509، رغم أن مايكروسوفت أصدرت تحديثًا طارئًا لسدها في 26 يناير الماضي. 

أوضحت المنصة أن الثغرة تصنف على أنها 'ثغرة يوم‑صفر' في خاصية أمنية داخل أوفيس، وتؤثر في عدة إصدارات، من بينها Office 2016 و2019 وإصدارات LTSC 2021 وLTSC 2024 بالإضافة إلى تطبيقات Microsoft 365 للحسابات المؤسسية.

أشارت CERT‑UA، بحسب ما نقلته BleepingComputer، إلى أنها رصدت بعد ثلاثة أيام فقط من تحذير مايكروسوفت حملة بريد إلكتروني خبيثة تستخدم ملفات Word (DOC) معدة خصيصًا لاستغلال الثغرة. 

أوضحت الوكالة أن بعض هذه الرسائل حمل عناوين تتعلق باجتماعات COREPER الخاصة بالاتحاد الأوروبي في أوكرانيا، بينما انتحلت رسائل أخرى هوية 'المركز الأوكراني للأرصاد الجوية والهيدرولوجيا'، وتم إرسالها إلى أكثر من 60 عنوان بريد إلكتروني تابع لجهات حكومية أو مرتبطة بالحكومة.

أكد التقرير أن تحليل البيانات الوصفية (Metadata) للملفات الخبيثة أظهر أنها أُنشئت بعد يوم واحد فقط من إصدار التحديث الأمني، ما يشير إلى سرعة استغلال المهاجمين للثغرة قبل أن تتمكن كل المؤسسات المستهدفة من تثبيت التصحيح.

أوضحت BleepingComputer أن استغلال الثغرة يبدأ عند فتح ملف أوفيس مصاب، حيث يجري تفعيل سلسلة أوامر تؤدي في النهاية إلى إنشاء 'مهمة مجدولة' داخل النظام (Scheduled Task). 

أشارت CERT‑UA في تقريرها إلى أن تنفيذ هذه المهمة يؤدي إلى إيقاف عملية explorer.exe المسؤولة عن واجهة ويندوز ثم إعادة تشغيلها، وبالاستفادة من تقنية معروفة باسم COM hijacking يتم تحميل ملف مكتبة ديناميكية DLL يحمل اسم EhStoreShell.dll.

أكدت الوكالة أن هذا الملف يقوم بتنفيذ شيفرة خبيثة (Shellcode) مدمجة داخل صورة، ليجري بعد ذلك تشغيل إطار عمل اختراق يُعرف باسم COVENANT على جهاز الضحية، وهو إطار يستخدمه المهاجمون عادة لإنشاء 'باب خلفي' يسمح بالتحكم عن بعد في النظام، وتنفيذ أوامر إضافية، وجمع بيانات حساسة من الأجهزة المصابة.

أشارت تحقيقات لاحقة نقلتها BleepingComputer عن CERT‑UA وجهات أمنية أخرى إلى أن الهجمات مرتبطة بمجموعة تهديد متقدمة تُعرف باسم APT28، يُعتقد على نطاق واسع أنها مدعومة من الدولة الروسية. 

أوضح التقرير أن محللي الأمن السيبراني رصدوا استخدام ثلاثة مستندات إضافية في هجمات استهدفت منظمات في دول أوروبية أخرى، ما يعني أن الحملة لا تقتصر على أوكرانيا وحدها، بل تمتد إلى دول في أوروبا الوسطى والشرقية، وفقًا لنتائج رصد من شركات مثل Zscaler ThreatLabz.

أكدت هذه التحقيقات أن بعض النطاقات (Domains) المستخدمة لاستضافة البنية التحتية للهجوم تم تسجيلها في اليوم نفسه الذي أطلقت فيه الحملة، وهو ما يعكس مستوى إعداد مسبق وتنسيق عالٍ في إدارة البنية الخلفية للهجمات.

أكدت BleepingComputer أن الجهات الأمنية أوصت المؤسسات والشركات والأفراد الذين يستخدمون إصدارات مايكروسوفت أوفيس المتأثرة بتطبيق آخر التحديثات الأمنية فورًا للحد من مخاطر الاستغلال. 

أوضحت التقارير أن مستخدمي Office 2021 والإصدارات الأحدث من حزمة مايكروسوفت 365 يحصلون على حماية جزئية عبر تغييرات على مستوى خوادم مايكروسوفت، لكن يتعين عليهم إعادة تشغيل تطبيقات أوفيس حتى تُطبَّق هذه التغييرات فعليًا، في حين يحتاج مستخدمو Office 2016 و2019 إلى تثبيت تصحيحات محددة أو تطبيق حلول بديلة مؤقتة إلى حين استكمال إصدار جميع التحديثات

قد يهمك أيضــــــــــــــا

بيل غيتس يدفع 788 مليار دولار لميليندا في أكبر تسوية طلاق بتاريخ الأثرياء

مايكروسوفت تستثمر 17.5 مليار دولار لدعم الذكاء الاصطناعي في الهند

alsaudiatoday

الإسم *

البريد الألكتروني *

عنوان التعليق *

تعليق *

: Characters Left

إلزامي *

شروط الاستخدام

شروط النشر: عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

اُوافق على شروط الأستخدام

Security Code*

 

قراصنة مرتبطون بروسيا يستغلون ثغرة يومصفر في مايكروسوفت أوفيس رغم تحديثها قراصنة مرتبطون بروسيا يستغلون ثغرة يومصفر في مايكروسوفت أوفيس رغم تحديثها



الأميرة إيمان تجمع بين الأصالة والعصرية في إطلالاتها

عمان - السعودية اليوم

GMT 06:06 2025 الجمعة ,05 أيلول / سبتمبر

حظك اليوم برج الأسد الجمعة 05 سبتمبر/ أيلول 2025

GMT 15:41 2016 الأربعاء ,27 كانون الثاني / يناير

7 علامات تدل على اختيارك الرجل المناسب

GMT 21:21 2018 الإثنين ,15 كانون الثاني / يناير

حسين فهمي يستكمل تصوير "خط ساخن" في أحد فنادق مصر الجديدة

GMT 20:49 2017 الإثنين ,30 كانون الثاني / يناير

حسام البدري يؤكد أن هيكتور كوبر يحقّق المطلوب منه

GMT 23:17 2018 الثلاثاء ,11 كانون الأول / ديسمبر

الفنزويلي ريفاس يطلب الرحيل عن صفوف الهلال

GMT 07:07 2018 الخميس ,11 كانون الثاني / يناير

حالة طقس المتوقعة الخميس في المملكة العربية السعودية

GMT 13:08 2018 الأربعاء ,03 كانون الثاني / يناير

عماد متعب يعتبر الانتقال للتعاون تحدي جديد في مسيرته

GMT 13:41 2017 الثلاثاء ,28 تشرين الثاني / نوفمبر

نادي فالنسيا يعلن مدة غياب جونكالو جويديس

GMT 03:07 2017 الجمعة ,10 تشرين الثاني / نوفمبر

اكتمال تحضيرات التعداد الزراعي الشامل في السودان

GMT 17:34 2016 الخميس ,08 كانون الأول / ديسمبر

كيفية التعامل مع الضرب والعض عند الطفل؟
 
syria-24

Maintained and developed by Arabs Today Group SAL
جميع الحقوق محفوظة لمجموعة العرب اليوم الاعلامية 2025 ©

Maintained and developed by Arabs Today Group SAL
جميع الحقوق محفوظة لمجموعة العرب اليوم الاعلامية 2025 ©

Arabstoday Arabstoday Arabstoday Arabstoday
alsaudiatoday alsaudiatoday alsaudiatoday
Pearl Bldg.4th floor 4931 Pierre Gemayel Chorniche, Achrafieh Beirut - Lebanon.
lebanon, lebanon, lebanon