كشف باحثون في شركة Enclave عن ثغرة أمنية في عدة تطبيقات Microsoft 365 على نظام أندرويد، نتجت عن بقاء علم التطوير (Debug Flag) مفعّلًا في النسخ الإنتاجية. هذا الخطأ عطّل آلية التحقق التي تحدد مشاركة رموز الحساب مع تطبيقات مايكروسوفت الموثوقة فقط، ما سمح لأي تطبيق آخر على نفس الجهاز بطلب الرمز والحصول عليه.
النتيجة أن أي تطبيق خبيث كان قادرًا على قراءة البريد الإلكتروني، فتح الملفات، تصفح التقويم، وحتى إرسال الرسائل باسم المستخدم، دون الحاجة إلى كلمة مرور أو شاشة تسجيل دخول أو إذن صريح.
التطبيقات المتأثرة والتصنيف الأمني
الثغرة التي أطلق عليها اسم FlagLeft أثرت على ستة تطبيقات رئيسية: Word، PowerPoint، Excel، Copilot، Loop، وOneNote.
أما تطبيق Teams فلم يتأثر، إذ كان العلم مضبوطًا على القيمة الصحيحة.
مايكروسوفت أصدرت أربع ثغرات أمنية (CVEs) في 12 مايو 2026، جميعها مصنفة كهجمات spoofing نتيجة ضعف في التحكم بالوصول (CWE-284):
- CVE-2026-41100: Microsoft 365 Copilot (CVSS 4.4)
- CVE-2026-41101: Word (CVSS 7.1)
- CVE-2026-41102: PowerPoint (CVSS 7.1)
- CVE-2026-42832: Excel (CVSS 7.7)
طبيعة الرموز المسروقة وخطورة الاستغلال
الرموز التي يتم تبادلها هي FOCI tokens، وهي رموز تحديث طويلة الأمد تُستخدم لتفعيل تسجيل الدخول الموحد عبر تطبيقات مايكروسوفت. هذه الرموز يمكن تحديثها وإعادة استخدامها لفترات طويلة، كما أن حركة المرور الناتجة عنها تبدو طبيعية في السجلات، ما يجعل اكتشاف الاستغلال صعبًا.
من منظور المستخدم، لا يظهر أي مؤشر على أن التطبيق الخبيث حصل على صلاحيات كاملة للوصول إلى البريد والملفات.
موقف مايكروسوفت والإصلاحات
مايكروسوفت أصدرت تحديثات عبر Google Play لجميع التطبيقات المتأثرة، وأكدت أن الثغرة لم تكن معروفة أو مستغلة علنًا قبل الإصلاح.
الإصدار الآمن لتطبيق Word على أندرويد هو 16.0.19822.20190، والإصدارات السابقة متأثرة. باقي التطبيقات تم إصلاحها بنفس آلية التحديث.
التوصيات الأمنية للمستخدمين والمؤسسات
- تحديث التطبيقات فورًا: Word، PowerPoint، Excel، Copilot، Loop، وOneNote عبر متجر Google Play.
- إدارة الأجهزة المؤسسية: على فرق الأمن دفع التحديثات عبر أنظمة إدارة الأجهزة المحمولة (MDM) والتأكد من أن الأجهزة لا تعمل بإصدارات قديمة.
- إلغاء الرموز القديمة: بما أن رموز FOCI تبقى صالحة حتى بعد تحديث التطبيق، يُنصح بإلغاء الرموز وإجبار المستخدمين على تسجيل دخول جديد إذا كانت الأجهزة قد شغّلت نسخًا قديمة بجانب تطبيقات غير موثوقة.
