تحديث مايكروسوفت لإصلاح ثغرة LNK المُستغلة منذ سنوات
مقدمة
أصدرت مايكروسوفت تحديثًا أمنيًا لمعالجة ثغرة خطيرة في ملفات الاختصار Windows LNK Files تحمل الرقم CVE-2025-9491، والتي وُصفت بأنها من أكثر الثغرات استغلالًا في الهجمات المتقدمة (APT) خلال السنوات الأخيرة.
وبحسب تقرير TechRadar، كانت الثغرة تُستخدم بهدوء في حملات تجسس واسعة لاستهداف منظمات حكومية وشركات كبرى.
هذه الثغرة تمنح المهاجم القدرة على تنفيذ أوامر على جهاز الضحية بمجرد فتح ملف Shortcut مزيف أو معروض في مستكشف الملفات.
ما هي ثغرة LNK وكيف يتم استغلالها؟
ملفات .LNK هي اختصارات تُستخدم لفتح البرامج أو الملفات.
لكن عبر تعديل البيانات الداخلية للملف، يستطيع المهاجم:
1- تضمين أوامر تشغيل خبيثة
2- تحميل ملفات تنفيذية (EXE) من الإنترنت
3- تشغيل سكربتات Powershell دون علم المستخدم
4- تجاوز بعض حلول الحماية القديمة
وتُعد هذه الطريقة مناسبة جدًا للهجمات التي تعتمد على USB أو ملفات مشتركة عبر الشبكات أو حملات التصيّد المتقدمة.
لماذا تعتبر الثغرة خطيرة؟
1- لا تتطلب تفاعل كبير من المستخدم
2- تعمل حتى عند تعطيل ماكرو Office
3- تُستخدم منذ سنوات دون اكتشاف
4- فعالة في بيئات الشركات
5- مناسبة جدًا للهجمات طويلة الأمد (Persistence)
وقد وثّقت شركات أمنية مثل Kaspersky وMandiant سابقًا استخدام ثغرات مشابهة في عمليات اختراق حكومية.
التحديث الجديد من مايكروسوفت
أصدرت مايكروسوفت تحديثًا يعالج الخلل عبر تحسين طريقة معالجة ملفات الاختصار، ومنع تحميل وتشغيل أوامر خارجية غير موثوقة.
يجب تثبيت التحديث عبر:
Windows Update
Microsoft Update Catalog
كما تنصح الشركة باستخدام حلول حماية حديثة قادرة على تحليل المستندات والاختصارات.
نصائح الحماية للمؤسسات
1- تفعيل Attack Surface Reduction على ويندوز
2- منع تشغيل ملفات LNK من USB عبر GPO
3- استخدام Endpoint Detection مثل Sophos / CrowdStrike
4- مراقبة تشغيل PowerShell غير المعتاد
5- حظر الاتصالات الصادرة إلى نطاقات مشبوهة
الخلاصة
ثغرة LNK ليست جديدة، لكنها كانت تعمل في الخفاء لسنوات، ما يجعلها واحدة من أخطر الثغرات التي استهدفت Windows. التحديث الأخير يُعد ضروريًا لكل المستخدمين وخاصة الشركات.
Arabic