ثغرة أمنية خطيرة في WinRAR تثير قلق المستخدمين حول العالم، حيث تم استغلالها من قبل جهات معادية للوصول إلى أنظمة ويندوز. تسمح هذه الثغرة، المعروفة برقم CVE-2023-38831، للمهاجمين بإدخال ملفات ضارة إلى مجلدات حساسة في النظام دون علم المستخدم، مما يمنحهم السيطرة على أجهزة الكمبيوتر. تم اكتشاف الاستغلال الأول لهذه الثغرة في يوليو 2023، وقد استمرت في تشكيل تهديد لملايين المستخدمين حتى بعد توفير تحديث لإصلاحها.
تنوعت الجهات التي استغلت هذه الثغرة، وشملت مجموعات تجسس مدعومة من دول، بالإضافة إلى مجرمين يهدفون إلى تحقيق مكاسب مالية. وقد استفادت هذه الجهات من الثغرة لتنفيذ هجمات متنوعة، بما في ذلك نشر البرمجيات الخبيثة، وسرقة بيانات الاعتماد، واختراق الأنظمة بشكل مستمر. يعتمد أسلوب الهجوم على إنشاء ملفات أرشيف مصممة خصيصًا، تستغل ضعفًا في المسار يسمح بكتابة الملفات في مواقع عشوائية على أجهزة الضحايا.
ثغرة WinRAR الأمنية: أداة مفضلة للمهاجمين
بحسب باحثين في Google Cloud، لوحظ استغلال واسع النطاق للثغرة ضمن حملات متعددة تستهدف منظمات عسكرية وحكومية أوكرانية، وشركات تكنولوجية، وقطاعات تجارية مثل قطاع الضيافة والبنوك. وتشير التقارير إلى أن المهاجمين استغلوا هذه الثغرة بشكل منهجي لوضع ملفات ضارة مباشرة في مجلد بدء تشغيل ويندوز (Windows Startup folder)، مما يضمن تشغيل برمجياتهم الخبيثة تلقائيًا في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى جهازه. هذا الأسلوب يتماثل تمامًا مع طريقة استغلال ثغرة سابقة في WinRAR (CVE-2023-38831) عام 2023، مما يدل على استمرار المهاجمين في استغلال البرمجيات غير المحدثة.
تظل المنظمات والمستخدمون الأفراد عرضة للخطر إذا لم يقوموا بالتحديث إلى الإصدار WinRAR 7.13 أو أحدث. يؤكد خبراء الأمن على أهمية تطبيق التصحيحات الأمنية على الفور، مشيرين إلى أن المهاجمين يواصلون استغلال الثغرات المعروفة لفترات طويلة بعد توفر الإصلاحات. توصي Google باستخدام ميزات التصفح الآمن (Safe Browsing) وميزات الأمان في Gmail، والتي تعمل على حظر الملفات التي تحتوي على الاستغلالات بشكل فعال.
كيف يستغل المهاجمون الثغرة الأمنية في WinRAR
تتمحور تقنية الاستغلال حول التلاعب بـ Alternate Data Streams (ADS)، وهي ميزة في نظام ملفات ويندوز يستغلها المهاجمون لإخفاء المحتوى الضار. عندما يفتح الضحايا ملف أرشيف مشفر، فإنهم يرون عادةً مستندًا غير ضار مثل PDF، بينما يتم استخراج الملفات الضارة المخفية إلى مواقع حيوية في النظام بصمت.
يستخدم المهاجمون مسارات ملفات تتضمن أحرف تنقل عبر المجلدات للوصول إلى مجلد بدء تشغيل ويندوز. على سبيل المثال، قد يحتوي ملف أرشيف ضار على ملف باسم “innocuous.pdf:malicious.lnk” مع مسار مصمم لكتابته مباشرة في مجلد بدء التشغيل. بمجرد وضعه هناك، يتم تشغيل الملف الضار تلقائيًا عندما يقوم المستخدم بتسجيل الدخول في المرة التالية، مما يمنح المهاجمين سيطرة مستمرة دون الحاجة إلى المزيد من التفاعل.
لقد أثبت هذا الأسلوب فعاليته عبر حملات شنتها مجموعات روسية مثل UNC4895 و APT44 استهدفت أوكرانيا، فضلاً عن جهات صينية نشرت برمجيات POISONIVY الخبيثة، ومجرمي الإنترنت الذين وزعوا أدوات الوصول عن بعد وأدوات سرقة المعلومات على ضحايا في إندونيسيا وأمريكا اللاتينية والبرازيل.
تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، واجعلوا CSN مصدركم المفضل في Google News.