مايكروسوفت تصلح ثغرة في ويندوز بعد سنوات من الاستغلال الفعلي

أعلنت مايكروسوفت عن معالجة ثغرة أمنية خطيرة تم استغلالها من قبل جهات فاعلة تهديدية مختلفة منذ عام 2017، وذلك ضمن تحديثاتها الأمنية لشهر نوفمبر، مما يضيف طبقة حماية جديدة لأنظمة ويندوز. 

تتعلق الثغرة الأمنية CVE-2025-9491 (ذات درجة خطورة 7.8/7.0 بحسب CVSS)، وتُعرف بأنها عيب في تفسير واجهة المستخدم لملفات اختصار ويندوز (LNK)، مما كان يسمح بتنفيذ تعليمات برمجية عن بعد. وتعكس هذه الخطوة التزام مايكروسوفت بتعزيز الأمن السيبراني وحماية المستخدمين من التهديدات المتطورة. 

سد ثغرة أمنية قديمة في ويندوز

تكمن المشكلة الأمنية في طريقة تعامل ويندوز مع ملفت الاختصار (.LNK). فمن خلال بيانات مُصممة بعناية داخل هذه الملفات، يمكن للمهاجمين إخفاء المحتوى الخطير عن المستخدم عند فحص الملف عبر واجهة ويندوز.

وبذلك، يمكن للمهاجم استغلال هذه الثغرة لتنفيذ تعليمات برمجية بصلاحيات المستخدم الحالي، مما يهدد سلامة البيانات والأنظمة. وقد تم رصد استغلال هذه الثغرة في حملات تجسس وسرقة بيانات منذ سنوات.

تفاصيل الثغرة وكيفية استغلالها

بشكل مبسط، يتم تصميم ملفات الاختصار هذه بحيث تخفي الأوامر الخبيثة عند عرض خصائصها في ويندوز، وذلك باستخدام أحرف “فارغة” مختلفة. ولمنح المستخدم الثقة، يمكن للمهاجمين إخفاء هذه الملفات كملفات وثائق عادية.

ظهرت التفاصيل الأولى لهذه المشكلة الأمنية في مارس 2025، عندما كشفت مبادرة Zero Day Initiative (ZDI) عن استغلالها من قبل 11 مجموعة مدعومة من دول مختلفة، شملت الصين وإيران وكوريا الشمالية وروسيا، وذلك كجزء من حملات لسرقة البيانات والتجسس وتحقيق مكاسب مالية، بعضها يعود إلى عام 2017.

استجابة مايكروسوفت الأولية

في ذلك الوقت، صرحت مايكروسوفت بأن هذه الثغرة لا تستوفي معايير المعالجة الفورية، وأنها ستضعها في الاعتبار لإصلاحها في إصدار مستقبلي. وأشارت الشركة حينها إلى أن تنسيق ملفات LNK محظور عبر تطبيقات مثل Outlook و Word و Excel و PowerPoint و OneNote، مما يعني أن أي محاولة لفتح هذه الملفات ستؤدي إلى ظهور تحذير للمستخدمين بعدم فتح الملفات من مصادر غير معروفة.

في وقت لاحق، وجدت تقارير من HarfangLab أن هذه الثغرة تم استغلالها من قبل مجموعة تجسس سيبرياني تُعرف باسم XDSpy، لتوزيع برمجيات خبيثة تعتمد على لغة Go تُسمى XDigo، وذلك ضمن هجمات استهدفت كيانات حكومية في شرق أوروبا. وقد حدث هذا الاكتشاف في نفس الشهر الذي تم فيه الإعلان عن الثغرة علناً.

ثم، في أواخر أكتوبر 2025، ظهرت المشكلة مرة أخرى بعد أن أشارت Arctic Wolf إلى حملة هجومية قامت فيها جهات تهديدية مرتبطة بالصين بتسليح هذه الثغرة في هجمات استهدفت كيانات دبلوماسية وحكومية أوروبية، وتم من خلالها نشر برمجيات خبيثة من نوع PlugX.

التحديث الأخير والإصلاح

هذا التطور دفع مايكروسوفت إلى إصدار توجيه رسمي بخصوص CVE-2025-9491، مؤكدة قرارها بعدم إصدار تصحيح منفصل لها، مع التأكيد على أنها تعتبرها ثغرة أمنية “نظرًا للتفاعل المطلوب من المستخدم وحقيقة أن النظام يحذر بالفعل المستخدمين بأن هذا التنسيق غير موثوق به.”

أشارت 0patch إلى أن الثغرة لا تقتصر فقط على إخفاء الجزء الخبيث من الأمر في حقل “الهدف” (Target)، بل في حقيقة أن ملف LNK “يسمح بأن تكون وسائط الهدف عبارة عن سلسلة نصية طويلة جدًا (عشرات الآلاف من الأحرف)، لكن مربع حوار الخصائص يعرض فقط أول 260 حرفًا، ويقوم بقص الباقي بصمت.”

هذا يعني أيضاً أن المهاجم يمكنه إنشاء ملف LNK يمكنه تشغيل أمر طويل، والذي سيؤدي إلى عرض أول 260 حرفاً منه فقط للمستخدم الذي يعرض خصائصه. أما بقية سلسلة الأمر، فيتم اقتطاعها ببساطة. وفقًا لمايكروسوفت، يسمح هيكل الملف نظريًا بسلاسل نصية تصل إلى 32 ألف حرف.

يعالج التصحيح الذي أصدرته مايكروسوفت بصمت المشكلة عن طريق عرض أمر الهدف بالكامل مع وسائطه في مربع حوار الخصائص، بغض النظر عن طوله. ومع ذلك، يعتمد هذا السلوك على إمكانية وجود ملفات اختصار تحتوي على أكثر من 260 حرفًا في حقل الهدف الخاص بها.

تتخذ 0patch مسارًا مختلفًا من خلال عرض تحذير عند محاولة المستخدمين فتح ملف LNK يحتوي على أكثر من 260 حرفًا. وأفادت الشركة بأن “على الرغم من أنه يمكن بناء اختصارات خبيثة تحتوي على أقل من 260 حرفًا، إلا أننا نعتقد أن تعطيل الهجمات الفعلية المكتشفة في البرية يمكن أن يحدث فرقًا كبيرًا لمن يتم استهدافهم.”