أعلنت شركة مايكروسوفت عن إصلاح ثغرة أمنية خطيرة في إطار عمل MSHTML ضمن تحديثات “Patch Tuesday” لشهر فبراير 2026، تحمل الرمز CVE-2026-21513 وتقييم خطورة 8.8 وفق مقياس CVSS. الثغرة تمثل فشلًا في آلية الحماية، ما يسمح للمهاجمين بتجاوز ميزة أمنية عبر الشبكة وتنفيذ تعليمات برمجية غير مصرح بها.
مايكروسوفت أكدت أن الثغرة قد استُغلت بالفعل كـ”0-Day” في هجمات واقعية قبل إصدار التحديث، حيث ساهمت فرق متعددة مثل MSTIC وMSRC وGoogle Threat Intelligence Group في كشفها والإبلاغ عنها.
ارتباط الهجوم بـ APT28
بحسب شركة Akamai، فإن البنية التحتية المرتبطة بالثغرة تعود إلى مجموعة التهديد الروسية المدعومة من الدولة والمعروفة باسم APT28. الباحثون رصدوا ملفًا خبيثًا تم رفعه إلى منصة VirusTotal بتاريخ 30 يناير 2026، مرتبطًا بنطاقات استخدمتها المجموعة في حملات سابقة.
من اللافت أن فريق الاستجابة الطارئة الأوكراني CERT-UA كان قد أشار الشهر الماضي إلى هجمات مشابهة نفذتها APT28 عبر ثغرة أخرى في أوفيس (CVE-2026-21509).
آلية الاستغلال عبر ملفات LNK
الثغرة متجذرة في مكتبة ieframe.dll المسؤولة عن معالجة الروابط التشعبية، حيث يؤدي ضعف التحقق من صحة عنوان URL إلى تمرير مدخلات المهاجم نحو مسارات حساسة تستدعي ShellExecuteExW.
الباحث Maor Dahan أوضح أن الاستغلال يتم عبر ملف اختصار Windows LNK مُصمم خصيصًا يحتوي على ملف HTML مخفي، يبدأ التواصل مع نطاق wellnesscaremed[.]com المرتبط بـ APT28.
الملف يستغل nested iframes وسياقات DOM متعددة للتلاعب بحدود الثقة، ما يسمح بتجاوز آليات مثل Mark-of-the-Web (MotW) وInternet Explorer Enhanced Security Configuration (IE ESC)، وبالتالي خفض مستوى الأمان وتنفيذ تعليمات خارج بيئة المتصفح الآمنة.
تداعيات أمنية وتوقعات مستقبلية
رغم أن الحملة الحالية تعتمد على ملفات LNK خبيثة، إلا أن الباحثين حذروا من إمكانية استغلال الثغرة عبر أي مكون يستخدم MSHTML، ما يفتح الباب أمام أساليب توصيل أخرى غير التصيّد عبر الاختصارات.
هذا التطور يعكس استمرار APT28 في تطوير تقنيات متقدمة لتجاوز الدفاعات الأمنية، ويؤكد الحاجة الملحة لتحديث الأنظمة بشكل دوري وتطبيق سياسات صارمة في التعامل مع الملفات المرسلة عبر البريد الإلكتروني أو الروابط المشبوهة.
