أطلقت مايكروسوفت بهدوء تدابير جزئية للتخفيف من ثغرة ويندوز LNK ذات الخطورة العالية، CVE-2025-9491، التي استغلتها عدة مجموعات مدعومة من الدول وعصابات الجريمة الإلكترونية كثغرة يوم الصفر. تتيح هذه الثغرة الأمنية للمهاجمين إخفاء أوامر خبيثة داخل ملفات الاختصار القياسية في ويندوز.
المشكلة الأساسية تنبع من الطريقة التي يتعامل بها نظام ويندوز مع ملفات الاختصار هذه. إذا قمت يومًا بفحص خصائص أي اختصار، فستجد هناك حقلًا يسمى "الهدف" يعرض الأمر الذي ينفذه الاختصار. تاريخيًا، كانت واجهة مستخدم ويندوز تعرض فقط أول 260 حرفًا من هذا الحقل المسمى بالهدف.
اكتشف المهاجمون أنهم يمكنهم إنشاء ملفات LNK برمجياً تحتوي على سلاسل أوامر طويلة للغاية، أحياناً تصل إلى عشرات الآلاف من الأحرف، ثم ملء بداية تلك السلسلة بأحرف فراغ. هذه الحيلة دفعت الكود الضار الفعلي، الذي كان ينشر أدوات مثل أحصنة طروادة للوصول عن بعد (RATs) والتحميلات، بعيداً تماماً عن رؤية المستخدم.
نظرًا لأن المستخدم كان يرى فقط حقلًا مليئًا بالمسافات البريئة، لم يكن لديه أي فكرة عما سيحدث عند النقر المزدوج على الملف. ولسوء الحظ، لم يكن هذا تهديدًا نظريًا. اكتشف محللو شركة Trend Micro في مارس أن هذه الثغرة قد تم استغلالها على نطاق واسع، مع حملات تعود إلى عام 2017.
وجد الباحثون ما يقارب ألف اختصار خبيث في البرمجيات المنتشرة. كان الممثلون البارزون للتهديد مثل Evil Corp وAPT37 وBitter، بالإضافة إلى مجموعة Mustang Panda المدعومة من الدولة الصينية، يستخدمون جميعهم هذه الحيلة لنشر البرمجيات الخبيثة، بما في ذلك Ursnif وGh0st RAT وTrickbot. وأشارت مختبرات Arctic Wolf بشكل خاص إلى أن مجموعة Mustang Panda استخدمت هذا الثغرة في هجمات اليوم الصفري التي استهدفت دبلوماسيين أوروبيين في دول مثل المجر وبلجيكا، مما أدى إلى دفع برنامج PlugX RAT إلى الأنظمة المخترقة.
اعتمدت الهجمات على قيام الضحايا بفتح ملف LNK الضار. عادةً ما يقوم الفاعلون الخبيثون بتوزيع هذه الملفات داخل ملفات ZIP أو أرشيفات أخرى لأن مزودي خدمات البريد الإلكتروني أذكياء بما يكفي لرفض المرفقات بصيغة .lnk مباشرةً نظرًا لطبيعتها الخطرة.
لاحظ المدير التنفيذي لشركة ACROS Security والمؤسس المشارك لشركة 0patch ميتجا كولسيك أن مايكروسوفت قد غيرت بهدوء كيفية تصرف نافذة خصائص الملفات. الآن، عند فتح خصائص ملف LNK، يعرض حقل الهدف جميع الأحرف، بغض النظر عن طول السلسلة.
بينما يُعد استعادة الثقة في واجهة المستخدم خطوة بالتأكيد في الاتجاه الصحيح، إلا أنها ليست حلاً كاملاً. التحديث لا يحذف الوسائط الضارة التي توجد بالفعل في ملفات LNK الحالية. كما أن المستخدم لا يتلقى أي تحذير بأن سلسلة الهدف طويلة بشكل غير معتاد.
إذا قام الفاعل المهدد بإنشاء سلسلة أوامر طولها آلاف الأحرف، فإن فقط أكثر المستخدمين وعيًا بالأمان هم من سيبذلون عناء التمرير عبر ذلك الحقل الصغير بأكمله للعثور على الكود المخفي. بالنسبة للشخص العادي، فإن هذا التغيير لا يقدم حماية عملية كبيرة ضد الهندسة الاجتماعية.
نظرًا لقيود التصحيح الصامت من مايكروسوفت، قررت شركة ACROS Security إصدار تصحيح غير رسمي خاص بها من خلال منصة 0patch للميكروتصحيحات. بدلاً من عرض السلسلة بالكامل فقط، تقتصر حل 0patch على جميع سلاسل أهداف الاختصارات إلى 260 حرفًا. إذا تجاوز ملف الاختصار هذا الطول، يقوم التصحيح بقطع الأمر ويقوم بتنبيه المستخدم إلى الخطر المحتمل.
في النهاية، تستحق مايكروسوفت التقدير لمعالجتها الصامتة لمشكلة تمثيل واجهة المستخدم التي جعلت هذا الثغرة اليومية صفرية التأثير فعالة للغاية. ومع ذلك، فإن حقيقة أنه كان من الضروري إنشاء تصحيح غير رسمي من طرف ثالث لحظر مسارات الهجوم الفعلية بشكل صارم تظهر أنه لا يزال هناك عمل يجب القيام به لجعل مثل هذه الإصلاحات الأمنية الحرجة فعالة حقًا للجماهير.