في عالم الأمان السيبراني، تُعتبر الثغرات الأمنية تهديدًا مستمرًا. مؤخرًا، قامت شركة أدوبي بإصلاح ثغرة خطيرة في برامجها، مما يسلط الضوء على أهمية التحديثات الأمنية.
قامت شركة أدوبي بإصلاح ثغرة تنفيذ التعليمات البرمجية التعسفية في أحدث إصدارات برنامج Acrobat وReader لنظامي ويندوز وماك، بعد ما يقرب من أربعة أشهر من بدء استغلالها من قبل مهاجم.
تُعتبر الثغرة ذات الخطورة العالية، والتي تم تخصيصها برمز CVE-2026-34621، ذات درجة CVSS تبلغ 8.6، وتعود إلى مزيج من التحقق غير الصحيح من المدخلات وسوء التعامل مع خصائص الكائنات. كانت الثغرة في البداية مُعطاة درجة CVSS تبلغ 9.6، لكن أدوبي قامت بتعديلها لاحقًا.
حمولة متطورة تم إسقاطها بسبب ثغرة أدوبي
اكتشف الباحث الأمني المستقل هايفي لي، مؤسس ومطور نظام اكتشاف الاستغلال EXPMON، الثغرة أثناء تحليل ملف PDF مُعد بشكل خبيث تم رفعه بشكل مجهول إلى المنصة في 26 مارس. أظهر تحليل لي للملف أنه “استغلال PDF متطور للغاية” لثغرة يوم الصفر في أدوبي Acrobat وReader التي كانت في ذلك الوقت غير مُعالجة.
أظهر تحقيقه الأولي أن ملف PDF الخبيث كان قد ظل غير مُلاحظ إلى حد كبير على منصة مشاركة التهديدات العامة VirusTotal منذ 23 مارس، حيث قامت خمسة فقط من بين 64 أداة أمان بتصنيفه كمشبوه. لاحقًا، اكتشف أنه تم رفع نسخة أخرى من البرمجيات الخبيثة إلى VirusTotal، كانت هذه النسخة منذ 28 نوفمبر 2025، مما يشير إلى أن الهجمات المستهدفة للثغرة كانت مستمرة منذ ذلك الحين على الأقل.
وجد لي أن المهاجم يمكنه تفعيل CVE-2026-34621 ببساطة عن طريق إقناع المستخدم بفتح ملف PDF دون الحاجة إلى نقرات أو أذونات إضافية. بمجرد تفعيله، يقوم ملف PDF المحشو بالفخ بالتقاط بصمات أنظمة الضحايا بهدوء قبل أن يقرر ما إذا كانوا يستحقون المزيد من الهجوم.
“يعمل العينة كاستغلال أولي مع القدرة على جمع وتسريب أنواع مختلفة من المعلومات، يتبعها على الأرجح تنفيذ التعليمات البرمجية عن بُعد (RCE) وهروب من الصندوق (SBX)”، كتب لي على مدونته مؤخرًا. “إنه يستغل ثغرة يوم الصفر/غير المُعالجة في أدوبي ريدر التي تسمح له بتنفيذ واجهات برمجة التطبيقات المتميزة في Acrobat، وقد تم تأكيد عمله على أحدث إصدار من أدوبي ريدر.”
اعترفت أدوبي بالمشكلة في إشعار بتاريخ 11 أبريل وأكدت أن الثغرة قد تم استغلالها في البرية. أصدرت الشركة إصدارات محدثة من البرنامج المتأثر وحثت المنظمات على التحديث إليها، مشيرة إلى نشاط الاستغلال المستمر الذي يستهدف الثغرة.
“يتطلب استغلال هذه المشكلة تفاعل المستخدم، حيث يجب على الضحية فتح ملف خبيث”، وفقًا لوصف CVE-2026-34621 في قاعدة بيانات الثغرات الوطنية التابعة لمؤسسة NIST.
استطلاع سري
تقوم البرمجيات الخبيثة المُعقدة المخفية داخل ملف PDF بالتنفيذ على الفور عند فتح الضحية للملف، وفقًا لي. باستخدام آلية واجهة برمجة التطبيقات لأدوبي ريدر، تجمع أولاً معلومات مفصلة عن بيئة الضحية، بما في ذلك تفاصيل نظام التشغيل وإصدارات البرمجيات وإعدادات اللغة ومسارات الملفات. بدلاً من نشر حمولة كاملة على الفور، تقوم البرمجيات الخبيثة باستطلاع النظام، وجمع المعلومات بهدوء وإرسالها إلى بنية تحتية تسيطر عليها المهاجم للتحليل.
بالإضافة إلى تمكين الاستطلاع، فإن البرمجيات الخبيثة قادرة في الوقت نفسه على الوصول إلى واستخراج البيانات الحساسة من الأنظمة المُخترقة. باستخدام نفس الآلية الأساسية، يمكنها قراءة الملفات مباشرة من الجهاز المحلي والتي قد تتضمن مستندات سرية أو بيانات نظام أو معلومات حساسة أخرى، وإرسال كل ما تجمعه إلى خادم القيادة والتحكم (C2) عن بُعد. وبالتالي، يحصل المهاجمون على صورة شاملة لبيئة الضحية والوصول المباشر إلى الملفات المخزنة على جهازهم.
خلال الاختبار، لم يتمكن لي من استعادة أي استغلال لاحق قد يكون المهاجم قد طوره للنشر على الأنظمة ذات الأهمية. ومع ذلك، أظهر اختباره لشفرة الهجوم أن آلية تسليم الحمولة الثانوية تعمل بشكل مثالي، مما يعني أن المهاجم يمكنه استهداف إصدار متأثر من أدوبي ريدر مع استغلالات إضافية لتنفيذ التعليمات البرمجية عن بُعد (RCE) أو هروب من الصندوق (SBX).
“يسمح هذا الاستغلال للمهاجم بجمع/سرقة المعلومات المحلية، ولكن أيضًا قد يطلق هجمات RCE/SBX لاحقة، مما قد يؤدي إلى السيطرة الكاملة على نظام الضحية”، كتب.
مثل أدوبي، أوصت Malwarebytes بأن تقوم المنظمات بالتحديث إلى الإصدار المُعالج في أسرع وقت ممكن. يجب على أولئك الذين لا يستطيعون أو لا يرغبون في القيام بذلك لأي سبب أن يكونوا “حذرين للغاية” عند التعامل مع ملفات PDF أو المرفقات غير المتوقعة من مصادر غير معروفة، وفقًا لما نصحت به Malwarebytes. كما ينبغي على المنظمات مراقبة جميع حركة مرور HTTP/HTTPS بحثًا عن سلسلة “Adobe Synchronizer” في حقل وكيل المستخدم، حسبما أفاد بائع الأمن.
تعتبر أدوبي Acrobat وReader أهدافًا متكررة للمهاجمين بسبب قاعدة تثبيتها الواسعة وعمق تكاملها مع وظائف نظام التشغيل. استخدم المهاجمون منذ سنوات ملفات PDF كآلية لتسليم الهجمات، بما في ذلك في الحملات المدعومة من الدول، وعمليات الفدية، والتصيد المستهدف، وغيرها من الأنشطة الخبيثة. لقد سلطت مثل هذه الهجمات الضوء على الحاجة إلى أن تعطي المنظمات الأولوية لتحديث الثغرات في منتجات أدوبي في الوقت المناسب ومراقبة التهديدات المستندة إلى الملفات بشكل عام.
تأكد من تحديث برامج أدوبي الخاصة بك بانتظام لحماية نفسك من التهديدات المتزايدة. البقاء على اطلاع دائم هو المفتاح لحماية بياناتك.
