كشفت أبحاث أمنية جديدة أن مجموعة APT28 الروسية المرتبطة بالدولة استغلت ثغرة أمنية خطيرة في إطار عمل MSHTML التابع لمايكروسوفت، قبل إصلاحها في تحديث فبراير 2026 الأمني.
ما هي ثغرة CVE-2026-21513؟
الثغرة المعروفة بـ CVE-2026-21513 حصلت على درجة خطورة 8.8 من 10، وتصنف كـثغرة تجاوز لآلية الحماية في إطار عمل MSHTML.
وفقاً لتيكبامين، تسمح الثغرة لمهاجم غير مصرح له بتجاوز ميزات الأمان عبر الشبكة، مما يفتح الباب أمام هجمات خطيرة.
كيف تعمل الثغرة؟
في سيناريو الهجوم، يمكن للمهاجم:
- إقناع الضحية بفتح ملف HTML خبيث
- إرسال ملف اختصار LNK عبر البريد الإلكتروني
- التلاعب بمعالجة المتصفح وWindows Shell
- تنفيذ أكواد خارج سياق الأمان المخصص
عند فتح الملف المصمم بعناية، يتم التلاعب بطريقة تعامل المتصفح مع المحتوى، مما يؤدي إلى تنفيذ الأكواد من قبل نظام التشغيل.
من وراء استغلال هذه الثغرة؟
رغم أن مايكروسوفت لم تشارك تفاصيل محددة عن استغلال الثغرة، إلا أن شركة Akamai كشفت عن عينة ضارة تم رفعها إلى VirusTotal في 30 يناير 2026.
العينة مرتبطة ببنية تحتية تابعة لمجموعة APT28، المعروفة أيضاً بـ Fancy Bear أو Sofacy.
جدير بالذكر أن العينة نفسها تم رصدها من قبل فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA) في وقت سابق، بالارتباط بهجمات APT28 التي استغلت ثغرة أخرى في Office (CVE-2026-21509).
التفاصيل التقنية للثغرة
وفقاً لتحليل Akamai، تعود الثغرة إلى المنطق في ملف "ieframe.dll" الذي يتعامل مع التنقل عبر الروابط التشعبية.
المشكلة تكمن في:
- عدم كفاية التحقق من صحة URL المستهدف
- السماح لمدخلات يتحكم فيها المهاجم بالوصول إلى مسارات أكواد معينة
- استدعاء دالة ShellExecuteExW بشكل خبيث
- تمكين تنفيذ موارد محلية أو بعيدة خارج سياق أمان المتصفح
كيف يحمي المستخدمون أنفسهم؟
ينصح الخبراء باتباع الخطوات التالية:
- تثبيت تحديثات فبراير 2026 الأمنية فوراً
- عدم فتح مرفقات البريد الإلكتروني من مصادر غير معروفة
- تجنب النقر على روابط مشبوهة
- استخدام حلول أمنية محدثة
الحمولة الخبيثة تتضمن ملف اختصار Windows (LNK) تم تصميمه خصيصاً، ويزرع ملف HTML مباشرة بعد بنية LNK القياسية.
كما ذكر تيكبامين، يبدأ ملف LNK بالاتصال بنطاق wellnesscaremed[.]com الذي ينسب إلى APT28، وكان مستخدماً بشكل واسع في حملات المجموعة السابقة.
هذا الاكتشاف يؤكد استمرار المجموعات المدعومة من الدول في استغلال الثغرات الصفرية قبل إصلاحها، مما يبرز أهمية التحديث المستمر للأنظمة.
