الصفحات
بحث
تحذير: 4 طرق جديدة لخداع مستخدمي ويندوز (مايكروسوفت لن تصلحها)
مايكروسوفت #أمن_المعلومات #ويندوز

تحذير: 4 طرق جديدة لخداع مستخدمي ويندوز (مايكروسوفت لن تصلحها)

منذ ساعة 4 مشاهدة 0 تعليق 3 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف الباحث الأمني Wietze Beukema خلال مؤتمر Wild West Hackin' Fest عن 4 تقنيات جديدة للتلاعب بملفات اختصار ويندوز (LNK) تسمح للمهاجمين بنشر برمجيات خبيثة مع إخفاء وجهتها الحقيقية عن المستخدمين، في وقت رفضت فيه مايكروسوفت اعتبار هذه التقنيات ثغرات أمنية تتطلب إصلاحاً عاجلاً.

خداع بصري في خصائص الملفات

تعتمد التقنيات المكتشفة حديثاً على استغلال تعقيدات التنسيق الثنائي لملفات الاختصار LNK، التي تم تقديمها لأول مرة مع نظام Windows 95. تسمح هذه الأساليب للمهاجمين بإنشاء ملفات مخادعة تبدو شرعية تماماً عند فحص نافذة "الخصائص" (Properties) في مستكشف ويندوز، لكنها تقوم بتنفيذ برامج مختلفة كلياً عند فتحها.

وأوضح Beukema أن الثغرات تستغل التناقضات في كيفية تعامل مستكشف ويندوز مع مسارات الأهداف المتضاربة. إحدى أكثر الطرق فعالية تستخدم أحرفاً محظورة في مسارات ويندوز، مثل علامات الاقتباس المزدوجة، لإنشاء مسارات تبدو صالحة ظاهرياً ولكنها غير صالحة تقنياً، مما يدفع المستكشف لعرض هدف مزيف بينما يتم تنفيذ هدف آخر خفي.

تزييف كامل للهدف

أخطر التقنيات التي تم تحديدها تتضمن التلاعب ببيئة البيانات داخل ملف LNK (EnvironmentVariableDataBlock). من خلال تعيين حقل الهدف ANSI فقط وترك حقل Unicode فارغاً، يمكن للمهاجمين عرض هدف مزيف مثل "invoice.pdf" (فاتورة) في نافذة الخصائص، بينما يقوم الملف فعلياً بتنفيذ أوامر PowerShell خبيثة.

وقال Beukema: "يؤدي هذا إلى موقف غريب حيث يرى المستخدم مساراً واحداً في حقل الهدف، ولكن عند التنفيذ، يتم تشغيل مسار آخر تماماً. ونظراً لأن الحقل يكون معطلاً، فمن الممكن أيضاً إخفاء أي وسيطات لسطر الأوامر".

رد مايكروسوفت: ليست ثغرة أمنية

عندما أرسل الباحث هذه النتائج إلى مركز استجابة مايكروسوفت للأمن (MSRC) في سبتمبر، رفضت الشركة تصنيفها كثغرة أمنية (Vulnerability). وجادلت مايكروسوفت بأن الاستغلال يتطلب تفاعل المستخدم (User Interaction) ولا يكسر الحدود الأمنية للنظام.

وصرح متحدث باسم مايكروسوفت لموقع BleepingComputer قائلاً: "لا تلبي هذه التقنيات معايير الخدمة الفورية بموجب إرشادات تصنيف الخطورة لدينا، لأنها تتطلب من المهاجم خداع المستخدم لتشغيل ملف ضار". وأكدت الشركة أن Microsoft Defender يمتلك كواشف لمنع هذا النشاط، كما أن ميزة Smart App Control توفر طبقة حماية إضافية.

تاريخ من الاستغلال النشط

على الرغم من موقف مايكروسوفت، حذر Beukema من أن المهاجمين يفضلون ملفات LNK لأن المستخدمين يتجاوزون التحذيرات الأمنية بسرعة. وأشار إلى أن ثغرة مماثلة (CVE-2025-9491) حققت نجاحاً كبيراً للمهاجمين لنفس السبب.

وكانت ثغرة CVE-2025-9491 قد استُغلت على نطاق واسع من قبل ما لا يقل عن 11 مجموعة قرصنة مدعومة من دول ومجموعات جرائم إلكترونية، بما في ذلك Mustang Panda وAPT37 وEvil Corp. وقد استخدمت مجموعة Mustang Panda الصينية هذه الثغرة في هجمات استهدفت دبلوماسيين أوروبيين لنشر برمجية PlugX الخبيثة، وفقاً لتقرير من شركة Arctic Wolf.

الجدير بالذكر أن الباحث أطلق مجموعة أدوات مفتوحة المصدر تسمى "lnk-it-up" لتوليد واختبار هذه الاختصارات، مما يساعد في تحديد الملفات التي قد تكون ضارة من خلال التنبؤ بما سيعرضه المستكشف مقابل ما سيتم تنفيذه فعلياً.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_المعلومات ##ويندوز ##مايكروسوفت ##CyberSecurity

الأسئلة الشائعة

تسمح للمهاجمين بإنشاء ملفات اختصار تعرض هدفاً مزيفاً (مثل ملف PDF) في الخصائص، بينما تنفذ برمجيات خبيثة عند فتحها.

تعتبر مايكروسوفت أن المشكلة تتطلب تفاعل المستخدم وخداعه لتشغيل الملف، وبالتالي لا تصنفها كثغرة أمنية تتطلب إصلاحاً فورياً.

تجنب فتح الملفات من مصادر غير معروفة، وانتبه لتحذيرات الأمان التي يظهرها ويندوز عند فتح ملفات تم تنزيلها من الإنترنت.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!