كشفت شركة أكاماي لأمن الشبكات عن احتمالية استغلال ثغرة أمنية خطيرة تم إصلاحها مؤخراً من قبل مايكروسوفت، وهي CVE-2026-21513، من قبل مجموعة APT28 المرتبطة بدولة روسيا. وتتيح هذه الثغرة للمهاجمين تجاوز آليات الحماية عن بعد.
تؤثر الثغرة، المعروفة بـ CVE-2026-21513، على إطار عمل MSHTML Framework وتمنح المهاجمين غير المصرح لهم القدرة على التحايل على ميزات الأمان عن طريق الشبكة، مما يتطلب إجراءات فورية لحماية الأنظمة. وقد قامت مايكروسوفت بإصدار تحديث لإصلاح هذه الثغرة ضمن تحديثات Patch Tuesday لشهر فبراير 2026.
ثغرة CVE-2026-21513 واستغلالها
أشارت مايكروسوفت إلى أن الثغرة قد تم استغلالها بالفعل في هجمات واقعية قبل إصلاحها، مما يضعها في فئة “اليوم صفر”. ويعود الفضل في اكتشاف هذه الثغرة والتحقق من استغلالها إلى جهود مشتركة بين فرق من مايكروسوفت وجوجل.
في سيناريو الهجوم، يمكن للمهاجم خداع المستخدم لفتح ملف HTML أو اختصار (LNK) ضار، يتم إرساله عادةً عبر رابط أو مرفق بريد إلكتروني. هذا يسمح بتجاوز آليات الأمان وتحقيق تنفيذ تعليمات برمجية.
آلية عمل الثغرة
بحسب مايكروسوفت، فإن الملف المصمم خصيصاً يمكنه معالجة سلوك المتصفح أو مستكشف ويندوز، مما يؤدي إلى تنفيذ المحتوى بواسطة نظام التشغيل. هذا يفتح الباب أمام المهاجم لتجاوز إجراءات الحماية وقد يؤدي في النهاية إلى تنفيذ تعليمات برمجية.
وأوضحت أكاماي أنها رصدت ملفاً ضاراً تم تحميله إلى VirusTotal في 30 يناير 2026، ويرتبط ببنية تحتية مرتبطة بمجموعة APT28. وتجدر الإشارة إلى أن هذا الملف نفسه تم ربطه في وقت سابق بهجمات للمجموعة ذاتها استغلت ثغرة أخرى في Microsoft Office.
تداعيات الاستغلال وجهود المواجهة
تقوم آلية عمل الثغرة، التي ترتكز على منطق معالجة الارتباطات التشعبية في ملف “ieframe.dll”، على التحقق غير الكافي من عنوان URL المستهدف. هذا يسمح للمدخلات الخاضعة لسيطرة المهاجم بالوصول إلى مسارات استدعاء الدالة `ShellExecuteExW`، مما يتيح تنفيذ الموارد المحلية أو البعيدة خارج نطاق الأمان المقصود للمتصفح.
أشار باحث أمني إلى أن الحمولة تتضمن ملف اختصار ويندوز (LNK) مصمم خصيصاً، والذي يتضمن ملف HTML بعد هيكل LNK القياسي. يبدأ ملف LNK هذا في التواصل مع نطاق `wellnesscaremed[.]com`، الذي يُعتقد أنه مرتبط بـ APT28 ويستخدم بشكل واسع في سياق الهجمات متعددة المراحل.
أشارت أكاماي إلى أن هذه التقنية تسمح للمهاجم بتجاوز ميزات الأمان مثل “Mark-of-the-Web” (MotW) و”Internet Explorer Enhanced Security Configuration” (IE ESC). وهذا يؤدي إلى تقويض سياق الأمان، مما يسهل في النهاية تنفيذ التعليمات البرمجية الضارة خارج بيئة المتصفح الافتراضية.
وختمت أكاماي بالتنويه إلى أن الهجمات المرصودة تستخدم ملفات LNK الضارة، إلا أن المسار البرمجي الضعيف يمكن تشغيله عبر أي مكون يستخدم MSHTML. ولذلك، يتوقع ظهور آليات تسليم إضافية تتجاوز الملفات المستندة إلى LNK.