أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية CISA بُعيد إصدار مايكروسوفت لـ165 تحديثا أمنيا في الرابع عشر من أبريل، أن الثغرة CVE-2009-0238 التي نُشر تفاصيلها لأول مرة في الرابع والعشرين من فبراير 2009، باتت تُستغل بشكل فعلي في هجمات نشطة حاليا. وأضافت الوكالة الثغرة إلى قائمتها للثغرات المستغلة المعروفة KEV، مانحةً وكالات السلطة التنفيذية المدنية الفيدرالية مهلة أسبوعين للتصحيح تنتهي في الثامن والعشرين من أبريل، وهو أسبوع أقل من المهلة الاعتيادية التي تُمنح عادة في مثل هذه الحالات.
ويُشكل هذا الإدراج استثناءً لافتا في عالم الأمن السيبراني؛ فالثغرة المعنية لم تُكتشف في منتج حديث، بل هي خلل تقني قديم عمره 17 عاما وسبق إصلاحه منذ أمد بعيد، مما يطرح تساؤلات جدية حول مدى استمرار بعض المؤسسات والجهات الحكومية في استخدام إصدارات بالغة القِدَم من حزمة Office.
ما هي الثغرة وكيف تعمل؟
تُصنَّف CVE-2009-0238 باعتبارها ثغرة تنفيذ كود عن بُعد تُصيب عدة إصدارات من Microsoft Excel القديمة. يتم تفعيلها حين يفتح المستخدم ملف Excel مُصمَّما بطريقة خبيثة، مما يدفع التطبيق إلى محاولة الوصول إلى كائن غير صالح في الذاكرة، ويُفضي ذلك إلى تلف في الذاكرة يُمكّن مهاجما عن بُعد من تنفيذ كود خبيث عشوائي على النظام المستهدف بصلاحيات المستخدم الحالي.
تطال هذه الثغرة عدة إصدارات إرثية من Microsoft Office، تشمل Excel 2000 SP3 حتى Excel 2007 SP1، إضافة إلى عدد من الإصدارات الخاصة بنظام Mac.
أما الإصدارات غير المتأثرة بالثغرة، فتشمل Excel 2007 SP2 وما بعده، وExcel 2010 وExcel 2013 وExcel 2016 وExcel 2019 وExcel 2021 وExcel ضمن Microsoft 365، فضلا عن إصدارات Excel لنظام Mac الأحدث من عام 2008.
ثغرة عاد من الماضي السحيق.. لماذا الآن؟
حين اكتُشفت الثغرة لأول مرة عام 2009، كانت تُستخدم لنشر البرمجية الخبيثة Trojan.Mdropper.AC، وهو محمّل برمجي يُستخدم لإيصال برمجيات ضارة أخرى في هجمات متتالية. وهذا التاريخ وحده يكفي لأن يُثير الذعر في أوساط مجتمع الأمن السيبراني؛ فكيف لثغرة يمتد عمرها لعقد ونصف أن تعود للواجهة وتُدرج في قائمة التهديدات النشطة عام 2026؟
لم تكشف CISA عن تفاصيل تقنية كثيرة بشأن كيفية الاستغلال الراهن للثغرة، ولا عن هوية الجهات المنفذة لهذه الهجمات أو أهدافها، وهو نهج معتاد في منشوراتها المتعلقة بقائمة KEV. ويذهب المحللون إلى أن الهجمات الراهنة على الأرجح تعتمد على رسائل تصيد احتيالي تحمل مرفقات Excel خبيثة. وتُجسّد هذه الحالة ظاهرة يُطلق عليها باحثو الأمن مصطلح “الثغرات الزومبي”، وهي ثغرات قديمة تم إصلاحها منذ سنوات لكنها تستمر في الإيقاع بضحايا يعملون على بنى تحتية رقمية غير محدّثة.
ثغرة SharePoint تُرافقها في قائمة الأولويات
انضمت إلى CVE-2009-0238 في قائمة CISA ثغرة أحدث بكثير، هي CVE-2026-32201، وقد عالجتها مايكروسوفت ضمن تحديثات Patch Tuesday لهذا الأسبيع. وتتعلق هذه الثغرة بخلل في التحقق من المدخلات ضمن Microsoft SharePoint Server أُكد استغلاله كثغرة يوم صفري.
يتيح هذا الخلل للمهاجمين انتحال البيانات عبر الشبكة، ومن شأن الاستغلال الناجح له منح المهاجمين إمكانية الاطلاع على معلومات داخلية حساسة والقدرة على تعديل المعلومات المُفصَح عنها. وأشار مايك والترز، الرئيس والمؤسس المشارك لمزود إدارة التصحيحات Action1، إلى أن هذا الخلل يمكن الاستفادة منه بشكل معقول في حملات التصيد الاحتيالي وأشكال أخرى من هجمات الهندسة الاجتماعية.
ماذا يتعين على المؤسسات فعله؟
أوصت CISA بتطبيق تدابير التخفيف وفق تعليمات الشركة المصنعة، والامتثال لإرشادات التوجيه التشغيلي BOD 22-01 المتعلقة بالخدمات السحابية، أو التوقف عن استخدام المنتج في حال تعذّر توفر أي من هذه التدابير.
وعلى الرغم من أن هذه التوجيهات مُوجَّهة رسميا نحو الوكالات الفيدرالية، يُنبّه الخبراء إلى أن القطاع الخاص يتعرض لنفس التهديدات، ويؤكدون أن وجود هذه الثغرة في قائمة KEV يعني بوضوح وجود جهات فاعلة فعليا تستغلها في هجمات حقيقية، مما يجعل التحديث العاجل لجميع بيئات العمل التي تحتوي على إصدارات قديمة من Excel ضرورة لا تحتمل التأجيل.
