كتبت: بسنت الفرماوي
حذرت منصة الأمن السيبراني “The Hacker News” من وجود ثلاث ثغرات “يوم صفري” (Zero-Day) تهدد أمان Microsoft Defender. تتمثل خطورة هذه الثغرات في أن اثنتين منها لا تزالان بدون تصحيح رسمي حتى الآن، مما يثير قلق المستخدمين والخبراء على حد سواء.
التفاصيل حول الثغرات
أعد الباحثون من شركة Huntress تقاريرًا تتعلق بهذه الثغرات، التي تُعرف بأسماء BlueHammer وRedSun وUnDefend. تم نشر تفاصيل هذه الثغرات في وقت سابق من شهر أبريل بواسطة باحث مستقل يُدعى “Chaotic Eclipse”، كوسيلة للاحتجاج على عدم استجابة مايكروسوفت السريعة تجاه بلاغات الثغرات الأمنية.
كيفية استغلال الثغرات
أشارت التقارير إلى أن هذه الثغرات قد تم استغلالها فعليًا في بيئات حقيقية منذ بداية أبريل. بدءًا من 10 أبريل، تم استخدام BlueHammer، تلتها ثغرات RedSun وUnDefend في 16 أبريل. تعتبر ثغرتا BlueHammer وRedSun من نوع “تصعيد صلاحيات محلي”، ما يعني أن المهاجمين الذين يمتلكون وصولًا محدودًا يمكنهم رفع صلاحياتهم إلى مستوى أعلى يصل إلى صلاحيات SYSTEM، مما يتيح لهم السيطرة الكاملة على الأجهزة المستهدفة.
الأجهزة المتأثرة
تؤثر هذه الثغرات على أنظمة ويندوز 10 وويندوز 11، بالإضافة إلى ويندوز سيرفر 2019 وما بعدها، بشرط أن يكون Microsoft Defender مُفعلًا. وتعتبر هذه الحالة شائعة جدًا في الشركات التي تعتمد على Defender كخط الدفاع الرئيسي في نظام التشغيل.
خطوات مايكروسوفت في التصحيح
وفقًا للتقارير، قامت مايكروسوفت بتحرك لإصلاح ثغرة BlueHammer من خلال تحديثات Patch Tuesday لشهر أبريل 2026، حيث حصلت الثغرة على التعريف الرسمي CVE-2026-33825. ومع ذلك، لا تزال ثغرتا RedSun وUnDefend تعانيان من عدم وجود تصحيح رسمي، مما يزيد من خطورتهما.
مخاطر استمرار الثغرات
توضح التقارير أن RedSun تظل خطرة بشكل خاص، حيث تسمح للمهاجمين بالحصول على صلاحيات SYSTEM على إصدارات حديثة من ويندوز حتى بعد تثبيت تحديثات أبريل. ويشكل ذلك ضغطًا إضافيًا على الشركات لاتخاذ إجراءات عاجلة للتخفيف من المخاطر.
أسلوب “الإفشاء الكامل”
في أواخر أبريل، قام الباحث “Chaotic Eclipse” بنشر الكود الخاص بثغرة BlueHammer، مما يُظهر أسلوب “الإفشاء الكامل” الذي يُستخدم في مجتمعات القرصنة. يتمثل هذا الأسلوب في نشر الكود في العلن قبل إصدار التصحيح، مما يخلق تحديات جديدة لشركات التكنولوجيا كما يمكن أن يستغله المهاجمون.
الإجراءات الموصى بها
أوصى الخبراء بضرورة اتخاذ مجموعة من الخطوات العاجلة لإدارة المخاطر حتى تصدر مايكروسوفت تصحيحات كاملة. تشمل هذه الخطوات التأكد من تحديث النظام، مراقبة سجلات Defender، وتعزيز سياسات التحكم في الوصول داخل بيئات الشركات.
استخلاص الدروس من الحادثة
تُظهر هذه الحادثة مدى أهمية الأعتماد على أدوات الأمان المتعددة لضمان أمان بيئات تكنولوجيا المعلومات. يجب على الشركات تبني نهج متعدد الطبقات للأمن للتقليل من تأثير الثغرات، حتى عندما يحدث خلل في أحد الطبقات.
يمكنك قراءة المزيد في المصدر.
لمزيد من التفاصيل اضغط هنا.