كشف الباحث الأمني جيانلوكا بالدي عن ثغرة خطيرة من نوع تضمين الملفات المحلية (LFI) في ميزة “تصدير إلى PDF” ضمن خدمات Microsoft 365. الثغرة تسمح للمهاجمين باستخراج ملفات داخلية من نظام الخادم عند تحويل مستندات HTML إلى ملفات PDF، حتى إن كانت تلك الملفات خارج مجلد الجذر.
آلية الثغرة واستغلالها عبر علامات HTML مخفية
بحسب التفاصيل التقنية، تم اكتشاف سلوك غير موثق يسمح بإرفاق ملفات محلية إلى وثيقة PDF الناتجة عن طريق إدراج علامات معينة في محتوى HTML مثل <embed>, <object>, و`<iframe>`. هذا التكتيك يُمكّن المهاجمين من التحايل على النظام وتحويل مستندات HTML إلى ملفات PDF تحتوي على بيانات من داخل الخادم، وهو ما يشكّل تهديدًا كبيرًا على سرية المعلومات المؤسسية والخاصة.
مكافأة وتصحيح الثغرة من قبل مايكروسوفت
بعد الإبلاغ الرسمي عن الثغرة، قامت مايكروسوفت بإصلاح الخلل وأصدرت تحديثًا أمنيًا لسدّ الفجوة. ونتيجة لهذا الاكتشاف، حصل الباحث الأمني على مكافأة مالية بقيمة 3,000 دولار أمريكي ضمن برنامج مكافآت اكتشاف الثغرات. يُعدّ هذا الإجراء جزءًا من جهود مايكروسوفت لتعزيز أمن منتجاتها ومواجهة الأخطار النامية في بيئة الخدمات السحابية والمكتبية.
خلفية عن الثغرات من نوع LFI وتأثيرها على الأنظمة الرقمية
تُصنّف ثغرات تضمين الملفات المحلية ضمن الثغرات الحرجة، إذ تتيح الوصول إلى ملفات النظام دون صلاحيات مباشرة. في سياق المؤسسات، مثل تلك التي تستخدم Microsoft 365، قد تسمح هذه الثغرات بالوصول إلى بيانات حساسة مثل مفاتيح التهيئة، تقارير داخلية، أو حتى ملفات اعتماد النظام. مع تزايد اعتماد الشركات على خدمات السحابة والأدوات التعاونية، تتضاعف أهمية اكتشاف مثل هذه الثغرات مبكرًا وتأمين البنية الرقمية بالشكل المناسب.
