Netcrook Logo
👤 KERNELWATCHER
🗓️ 28 Apr 2026   🌍 Europe

خطر «صفر نقرة»: كيف فتحت ثغرة في Windows Shell الأبواب أمام نخبة القراصنة

العنوان الفرعي: ثغرة كُشف عنها حديثًا في Windows Shell استغلّها قراصنة دولة روسيون، ما يترك المستخدمين عرضة لسرقة صامتة لبيانات الاعتماد.

بدأ الأمر بهدوء، كما تفعل كثير من قصص التجسس السيبراني: «ثلاثاء التصحيحات» الروتيني، وقائمة مألوفة من التحديثات. لكن تحت السطح، كان تهديد صامت قد بدأ يتحرك بالفعل. هذا الشهر، أكدت مايكروسوفت أن CVE-2026-32202 - وهي علة تبدو متوسطة في Windows Shell - لم تكن مجرد خطر نظري، بل سلاحًا نشطًا في أيدي مهاجمين متطورين. والالتواء؟ إنها ثغرة تتيح للقراصنة سرقة بيانات الاعتماد دون نقرة واحدة من الضحية.

تشريح هجوم «صفر نقرة»

CVE-2026-32202 هي ثغرة انتحال (Spoofing) في Windows Shell، وهي الواجهة الأساسية التي تتيح للمستخدمين التفاعل مع الملفات والمجلدات والبرامج. ورغم أن درجة CVSS الخاصة بها (4.3) قد تبدو متواضعة، فإن أثرها في العالم الحقيقي ليس كذلك إطلاقًا. فقد اكتشف الباحثون أن المهاجمين - وعلى رأسهم المجموعة الروسية المدعومة من الدولة APT28، سيئة الصيت في التجسس السيبراني عبر أوروبا وأوكرانيا - كانوا يربطون عدة ثغرات معًا لتحقيق أثر مدمّر.

بدأت سلسلة الهجوم بملف اختصار ويندوز (.LNK) مفخخ. فإذا قام الضحية بمجرد استعراض موقع يحتوي هذا الملف، فإن ويندوز سيتواصل تلقائيًا مع خادم يسيطر عليه المهاجم لتحميل كائن خبيث من «لوحة التحكم» (CPL) - من دون أي نقرات. وأدى ذلك إلى تشغيل اتصال SMB، مُرسِلًا بيانات اعتماد الضحية المُجزأة (Net-NTLMv2) إلى المهاجم، الذي يمكنه بعدها إطلاق هجمات إضافية أو كسر كلمات المرور دون اتصال بالإنترنت.

كان تصحيح مايكروسوفت الأولي في فبراير 2026 يهدف إلى حظر تنفيذ الشيفرة عن بُعد عبر التحقق من التوقيع الرقمي لملف CPL. لكن باحثين في Akamai، ومن بينهم ماور دهان الذي أبلغ عن العلة في البداية، لاحظوا أن التصحيح لم يمنع ويندوز من المصادقة تلقائيًا على خادم المهاجم. وظلت سرقة بيانات الاعتماد «صفر نقرة» ممكنة لأن ويندوز كان يثق بالمسار قبل التحقق من سلامته - فجوة دقيقة استغلها القراصنة المهرة بسرعة.

استغلت APT28 هذه الثغرة في حملات موجهة ضد أوكرانيا ودول الاتحاد الأوروبي، مستخدمةً الثغرة كجزء من سلسلة استغلال متطورة. وقد تجاوز الهجوم حتى Microsoft Defender SmartScreen، وهي ميزة أمنية مصممة لحظر الملفات المشبوهة.

دروس في فجوات التصحيح وخصوم لا يكلّون

تُبرز قصة CVE-2026-32202 حقيقة قاسية في الأمن السيبراني: حتى التصحيحات السريعة قد تترك شقوقًا يتسلل منها المهاجمون. وبينما تسارع مايكروسوفت إلى تدعيم دفاعاتها، تمثل هذه الحادثة تذكيرًا صارخًا بأن تصحيح علة واحدة قد يفتح الباب لأخرى - خصوصًا عند مواجهة خصوم مثابرين وذوي موارد مثل APT28.

بالنسبة للمستخدمين والمؤسسات، الدرس واضح: حدّث بسرعة، لكن لا تفترض أبدًا أن تحديثًا واحدًا هو نهاية القصة. في عالم التجسس السيبراني عالي المخاطر، اليقظة لعبة لا تنتهي.

WIKICROOK

  • Windows Shell: Windows Shell هي واجهة المستخدم الرئيسية في ويندوز، وتتيح للمستخدمين إدارة الملفات والمجلدات والتطبيقات عبر أدوات رسومية أو عبر سطر الأوامر.
  • SMB (Server Message Block): SMB (Server Message Block) هو بروتوكول يتيح لأجهزة الكمبيوتر مشاركة الملفات والطابعات والموارد عبر الشبكة، ويُستخدم عادةً في أنظمة ويندوز.
  • Net: Net مصطلح يشير إلى شبكات الحاسوب. وفي الأمن السيبراني، يعني حماية هذه الشبكات من الوصول غير المصرح به والهجمات وتسريبات البيانات.
  • Zero: ثغرة «صفر يوم» هي عيب أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
  • APT28: APT28، أو Fancy Bear، هي مجموعة قرصنة روسية مدعومة من الدولة معروفة بالتجسس السيبراني ضد حكومات ومنظمات غربية.
Windows Shell APT28 Credential Theft
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news