أبرز 3 استغلالات لثغرات Microsoft Office في 2025

1. التصيد الاحتيالي عبر MS Office: الخيار المفضل للقراصنة

ما زالت هجمات التصيد باستخدام ملفات Word وExcel منتشرة بسبب فعاليتها، خاصة في البيئات التجارية حيث يتم تبادل المستندات بكثرة.

كيف تعمل؟

• إرسال ملفات مزيفة مثل فواتير، تقارير، أو عروض عمل تبدو وكأنها من جهة موثوقة.
• تحتوي هذه الملفات على:
  • روابط لصفحات تسجيل دخول مزيفة (مثل Microsoft 365).
  • بوابات تصيد تحاكي أدوات الشركة.
  • إعادة توجيه لسرقة بيانات الاعتماد.

مثال من ANY.RUN:

• رُصد ملف Excel يحتوي على رابط خبيث يؤدي إلى صفحة تسجيل دخول مزيفة.
• الرابط يبدو رسميًا لكنه يحتوي على أحرف عشوائية ولا ينتمي للنطاق الرسمي لـ Microsoft.

📌 نصيحة أمنية:

• استخدم أدوات مثل ANY.RUN لتحليل الملفات المشبوهة قبل فتحها.
• انتبه لروابط QR Codes المضمنة في المستندات، فقد تؤدي إلى مواقع ضارة.

2. CVE-2017-11882: ثغرة Equation Editor التي لا تموت!

• تاريخ الاكتشاف: 2017، لكنها ما زالت مستغلة في أنظمة غير محدثة.
• كيف تعمل؟
  • يستغل المهاجمون أداة Microsoft Equation Editor القديمة.
  • مجرد فتح ملف Word مصاب يكفي لتنفيذ أكواد خبيثة بدون تفاعل المستخدم.
• الخطر:
  • تنزيل برمجيات خبيثة مثل Agent Tesla لسرقة كلمات المرور وبيانات الحساب.

🔍 كيف تحمي نفسك؟

• تحديث Office إلى أحدث إصدار.
• تعطيل الماكرو والمكونات القديمة مثل Equation Editor.

3. CVE-2022-30190: ثغرة “فولينا” لا تزال نشطة!

• كيف تعمل؟
  • تستغل أداة Microsoft Support Diagnostic Tool (MSDT).
  • لا تحتاج إلى تفعيل الماكرو – مجرد عرض الملف يكفي لتنفيذ الأكواد الضارة.
• التكتيكات المتقدمة:
  • استخدام التخفي بالصور (Steganography) لإخفاء البرمجيات الخبيثة داخل ملفات صورية.
  • تنفيذ هجمات متعددة المراحل عبر PowerShell.

🛡️ نصائح للحماية:

• تحديث Office بانتظام.
• فحص الملفات المشبوهة في بيئة معزولة مثل ANY.RUN.
• مراقبة نشاط PowerShell غير المعتاد.

كيف تحمي فريقك من هجمات Office؟

✅ تقييد فتح الملفات الخارجية والتحقق من مصادرها.
✅ استخدام أدوات تحليل البرمجيات الخبيثة مثل ANY.RUN لاكتشاف التهديدات قبل انتشارها.
✅ تعطيل الميزات القديمة مثل الماكرو وEquation Editor.
✅ تدريب الموظفين على التعرف على محاولات التصيد.

📱 هل الهواتف أيضًا في خطر؟
نعم! مع دعم ANY.RUN لأنظمة Android، يمكنك الآن:

• تحليل البرمجيات الخبيثة في بيئة افتراضية آمنة.
• كشف التطبيقات الضارة (APKs) قبل تثبيتها على الأجهزة.

تفاصيل الحملة السيبرانية

إنشاء الموقع المزيف
– اسم الموقع المزيف: postindia[.]site .
– عند زيارة الموقع من أجهزة Windows ، يُطلب من المستخدمين تنزيل مستند PDF يحتوي على تعليمات برمجية ضارة.
– أما عند الدخول عبر أجهزة Android ، يتم تحميل ملف تطبيق ضار يحمل اسم indiapost.apk .

طرق الاستغلال
1. على أجهزة Windows:
– يُوجه المستند المستخدمين لتنفيذ أمر PowerShell باستخدام مفاتيح Win + R ، مما يؤدي إلى احتمالية اختراق النظام.
– أظهرت بيانات EXIF المرتبطة بالمستند أنه تم إنشاؤه في 23 أكتوبر 2024 بواسطة مؤلف يحمل اسم PMYLS ، والذي قد يكون إشارة إلى برنامج باكستان لرئيس الوزراء لتوزيع أجهزة اللابتوب.
– الهدف من الكود هو تنزيل حمولة برمجية ضارة من خادم عن بُعد، الذي يبدو أنه غير نشط حاليًا.

2. على أجهزة Android:
– يُطلب من المستخدمين تثبيت تطبيق لتحسين تجربتهم.
– التطبيق، بعد تثبيته، يطلب أذونات واسعة تشمل الوصول إلى قوائم الاتصال، الموقع الحالي، وملفات التخزين.
– يتم تغيير أيقونة التطبيق لتُشابه أيقونة حسابات جوجل لإخفاء النشاط الضار.

التهديدات الناتجة عن الحملة

خطورة التطبيق الضار
– التطبيق يُجبر المستخدمين على قبول الأذونات إذا رفضوها في المرة الأولى.
– يستمر التطبيق في العمل بالخلفية حتى بعد إعادة تشغيل الجهاز، ويطلب أذونات لتجاهل تحسين البطارية.

*استغلال تكتيكات ClickFix *
– التكتيك يُستخدم بشكل متزايد من قبل مجرمي الإنترنت والمجموعات السيبرانية المتقدمة لاستهداف المستخدمين غير المطلعين وكذلك ذوي المهارات التقنية.

التوصيات الأمنية

1. تحذير المستخدمين:
– تجنب زيارة الروابط غير الموثوقة وتنزيل الملفات أو التطبيقات من مصادر غير موثوقة.

2. تعزيز الأمن السيبراني:
– تثبيت برامج مكافحة البرمجيات الضارة وتحديثها بانتظام.
– التحقق من الأذونات الممنوحة للتطبيقات والتأكد من مصدرها قبل التثبيت.

3. زيادة الوعي بالتصيد الاحتيالي:
– تثقيف المستخدمين حول الطرق التي يمكن أن تستخدمها المجموعات المهاجمة لإيقاعهم في الفخ.