BlueHammer (CVE-2026-33825): زيرو-داي في Microsoft Defender يهدد بنوك SAMA

في 7 أبريل 2026، نشر باحثو الأمن إثبات استغلال جاهز لثغرة صفرية اليوم في Microsoft Defender عُرفت باسم BlueHammer وتحمل المعرّف CVE-2026-33825. الثغرة تمنح أي مستخدم محلي صلاحيات SYSTEM على أنظمة Windows 10 وWindows 11 المحدّثة بالكامل، وتم تأكيد استغلالها فعلياً قبل أن تُضيفها CISA إلى كتالوج الثغرات المستغلّة (KEV) مع مهلة معالجة لا تتجاوز 7 مايو. بالنسبة لبنوك SAMA، هذه ليست ثغرة عادية: إنها كسر مباشر لخط دفاع نقطة النهاية الأكثر اعتماداً في القطاع المصرفي السعودي.

تشريح ثغرة BlueHammer (CVE-2026-33825) وآلية الاستغلال

BlueHammer هي ثغرة ترقية امتيازات محلية (LPE) بدرجة CVSS 7.8، وتنبع من حالة سباق من نوع Time-of-Check to Time-of-Use داخل محرك المعالجة الخاص بـ Microsoft Defender. الاستغلال يبدأ بإسقاط ملف يُحفّز اكتشاف الحماية في الوقت الفعلي، ثم يستخدم المهاجم قفل oplock من نوع batch لإيقاف عملية المعالجة عند نقطة حرجة. خلال هذا التجميد، يقوم الاستغلال بإنشاء NTFS junction point يعيد توجيه مسار المعالجة من المجلد المؤقت الذي يتحكم فيه المهاجم إلى مسار C:\Windows\System32. النتيجة: Defender نفسه ينفّذ عملية استبدال أو حذف بصلاحياته الكاملة على ملفات النظام، مما يفتح الباب لاستخراج قاعدة SAM وتجزئات NTLM والوصول إلى صلاحيات SYSTEM.

BlueHammer ليست وحيدة: موجة زيرو-دايز ضد Defender

خلال 13 يوماً فقط من أبريل 2026، كُشف عن ثلاث ثغرات صفرية اليوم تستهدف Microsoft Defender. بعد BlueHammer مباشرة، نُشر استغلال UnDefend الذي يعطل آلية تحديث Defender ويُضعف حمايته بشكل تدريجي، تلاه RedSun الذي يستغل معالجة الملفات الموسومة سحابياً للكتابة فوق مسارات النظام. هذا التركّز يكشف نمطاً قلقاً: محرك Defender نفسه أصبح هدفاً عالي القيمة، لأن أي مهاجم يكسره يحصل على ترقية امتيازات وتحييد الحماية في خطوة واحدة. شركة Microsoft أصدرت التصحيح في 14 أبريل ضمن Patch Tuesday، لكن نشر التصحيح في بيئات البنوك المُجمَّدة للتغيير عادة ما يستغرق أسابيع.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

غالبية بنوك SAMA تعتمد Microsoft Defender for Endpoint كركيزة أساسية لـ EDR على محطات العمل وخوادم Windows، وفقاً لما يفرضه ضابط التحكم 3.3.14 من إطار SAMA CSCC حول الحماية من البرامج الخبيثة. استغلال BlueHammer ضد محطة موظف عادي في فرع البنك يعني خط هجوم مباشر: تنفيذ كود محلي عبر تصيّد أو مستند خبيث، ثم ترقية إلى SYSTEM، ثم استخراج NTLM hashes والتحرك جانبياً نحو خوادم Active Directory والأنظمة الأساسية للبنك. الأخطر أن استغلال LPE لا يُولّد بالضرورة تنبيهات في SIEM ما لم تكن قواعد كشف TOCTOU وoplock abuse مُفعّلة، وهي قواعد غير افتراضية في معظم تطبيقات Microsoft Sentinel وSplunk داخل المملكة. ضوابط NCA ECC في الفئة 2-12 (إدارة الحوادث) وPCI-DSS 5.2 (الحماية ضد البرامج الخبيثة) تُلزم البنوك بإثبات فعالية أدوات الكشف، وثغرة كـ BlueHammer تخلق فجوة مباشرة في هذا الإثبات.

التوصيات والخطوات العملية لفرق SOC والامتثال

1. طبّق فوراً تحديث Microsoft Patch Tuesday أبريل 2026 (KB المرافق لـ CVE-2026-33825) على جميع نقاط النهاية والخوادم العاملة بـ Windows 10 و11، مع التحقق من تحديث محرك Defender إلى الإصدار 4.18.25040.x أو أحدث.
2. فعّل سياسة Attack Surface Reduction (ASR) رقم D1E03AA1-1AA4-433E-88D2-BBD43A8B7E9D لمنع إساءة استخدام عمليات Defender كقناة للترقية.
3. اضبط قواعد كشف في Microsoft Sentinel لرصد إنشاء NTFS junctions نحو مسارات System32 من عمليات غير موثوقة، وربطها بأحداث MpEng.exe الشاذة.
4. راجع سجلات Defender (Event ID 5007 و1116) خلال الأسبوعين الماضيين بحثاً عن أنماط معالجة ملفات تليها أحداث SeImpersonatePrivilege غير متوقعة.
5. قَيّد صلاحيات المستخدمين المحليين عبر LAPS، ومنع تشغيل البرامج النصية غير الموقعة وفق ضابط CSCC 3.3.5 (إدارة الامتيازات).
6. أدرج CVE-2026-33825 في تقرير المخاطر الشهري المُقدَّم لـ SAMA مع إثبات إغلاق الفجوة، تجنّباً لملاحظات التدقيق المرتبطة بضابط 3.3.14.
7. اعتمد إطار Threat Hunting أسبوعي يستهدف TOCTOU وoplock abuse على أصول الفئة الحرجة (خوادم الدفع وANB وSARIE).

الخلاصة

BlueHammer ليست مجرد ثغرة ترقية امتيازات إضافية في قائمة طويلة، بل دليل على أن أدوات الحماية ذاتها أصبحت سطح هجوم يستحق الاستثمار من قبل الخصوم. بنوك SAMA التي تعتمد على Microsoft Defender كخط دفاع رئيسي يجب أن تتعامل مع CVE-2026-33825 باعتبارها حادثة كشف عن فجوة هيكلية في فرضية "EDR كعازل ضد ترقية الامتيازات"، لا مجرد بقعة عابرة تحلّها رقعة Patch Tuesday. الحل يبدأ بالتصحيح، ويكتمل بمراجعة منطق الكشف وقواعد التحقيق، وإثبات الجاهزية أمام مدققي SAMA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.