ثغرة BlueHammer في Windows Defender: تصعيد صلاحيات إلى SYSTEM عبر أداة الحماية نفسها

حين يتحوّل برنامج الحماية الذي تعتمد عليه مؤسستك إلى نقطة الاختراق ذاتها، فإن المعادلة الأمنية تنقلب رأساً على عقب. هذا بالضبط ما فعلته ثغرة BlueHammer (CVE-2026-33825) التي تستغل محرك معالجة التهديدات في Microsoft Windows Defender لمنح مهاجم محلي صلاحيات SYSTEM كاملة — دون الحاجة لأي تفاعل من المستخدم أو صلاحيات مسبقة مرتفعة.

ما هي ثغرة BlueHammer وكيف تعمل تقنياً؟

تعود جذور الثغرة إلى حالة سباق زمني من نوع TOCTOU (Time-of-Check to Time-of-Use) داخل آلية معالجة الملفات المشبوهة في Windows Defender. عند اكتشاف ملف خبيث، يبدأ المحرك بعملية استرجاع (rollback) تتضمن حذف الملف وإعادة كتابته. المهاجم يستغل هذه النافذة الزمنية القصيرة بين الفحص والتنفيذ لتنفيذ الهجوم.

تبدأ سلسلة الاستغلال بوضع ملف يثير تنبيه Defender، ثم استخدام قفل ملفات انتهازي (Batch Oplock) لتجميد عملية المعالجة في لحظة حرجة. خلال هذا التجميد، ينشئ المهاجم نقطة ربط NTFS Junction Point تعيد توجيه مسار الملف المستهدف من المجلد المؤقت إلى مسار C:\Windows\System32. حين يستأنف Defender عملية الاسترجاع، يتبع المسار المُعاد توجيهه ويكتب الملف بصلاحيات SYSTEM، مما يسمح بالكتابة فوق ملفات نظام حساسة وتنفيذ أوامر بأعلى الصلاحيات.

الكشف المثير للجدل وسلسلة الثغرات الثلاث

في 7 أبريل 2026، نشر باحث أمني يستخدم اسم "Chaotic Eclipse" الثغرة مع كود استغلال كامل (PoC) بشكل علني، احتجاجاً على تعامل مركز استجابة مايكروسوفت الأمنية (MSRC) مع بلاغه. أصدرت مايكروسوفت تصحيحاً في 14 أبريل ضمن تحديثات Patch Tuesday، لكن خلال 13 يوماً فقط ظهرت ثلاث ثغرات صفرية تستهدف Defender تحديداً:

1. BlueHammer (CVE-2026-33825): تصعيد صلاحيات عبر آلية معالجة الملفات كما شرحنا.
2. UnDefend: تعطيل آلية تحديث Defender تدريجياً حتى تصبح قواعد بياناته قديمة وغير فعّالة.
3. RedSun: تصعيد صلاحيات آخر يستغل طريقة تعامل Defender مع الملفات المصنّفة سحابياً (cloud-tagged) للكتابة فوق مسارات نظام محمية.

أضافت وكالة CISA الأمريكية الثغرة CVE-2026-33825 إلى كتالوج الثغرات المُستغلة فعلياً (KEV)، مؤكدةً وجود استغلال نشط في البرية، وألزمت الوكالات الفيدرالية بالتصحيح قبل 7 مايو 2026.

لماذا تمثّل هذه الثغرة خطراً استثنائياً على المؤسسات المالية السعودية؟

تعتمد الغالبية العظمى من المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) على بيئات Windows في محطات العمل والخوادم الداخلية، ويُعدّ Windows Defender خط الدفاع الأول أو المكمّل في كثير من هذه البيئات. الخطورة تكمن في أن المهاجم لا يحتاج سوى وصول محلي عادي — موظف مخترَق حسابه عبر تصيّد إلكتروني، أو مقاول له صلاحيات محدودة على الشبكة — ليحصل على صلاحيات SYSTEM كاملة.

وفق إطار SAMA CSCC (Cyber Security Control Compliance)، يُلزم ضابط التحكم 3.3.3 المؤسسات بتطبيق تصحيحات الثغرات الحرجة خلال إطار زمني محدد، بينما يتطلب ضابط 3.3.7 مراقبة فعالية أدوات الحماية وعدم الاعتماد على أداة واحدة. كذلك يشترط إطار NCA ECC ضمن ضوابط إدارة الثغرات الفنية تقييم المخاطر المرتبطة بأدوات الحماية ذاتها وليس فقط الأنظمة المحمية.

التوصيات والخطوات العملية

1. تطبيق التصحيح فوراً: تأكد من تثبيت تحديثات أبريل 2026 (KB5035845 وما يليه) على جميع أنظمة Windows 10 و11 وServer. استخدم WSUS أو SCCM أو Intune للتحقق من التغطية الشاملة، وراجع الأنظمة المعزولة عن الشبكة يدوياً.
2. تفعيل الدفاع متعدد الطبقات: لا تعتمد على Defender وحده. أضف حلول EDR متقدمة مثل CrowdStrike أو SentinelOne أو Microsoft Defender for Endpoint (الإصدار المؤسسي الكامل) مع قواعد كشف مخصصة لعمليات إنشاء NTFS Junction Points غير المعتادة.
3. مراقبة أنشطة Oplock وJunction Point: أنشئ قواعد كشف في SIEM لرصد أنماط الاستغلال: إنشاء Oplock على ملفات في مجلدات مؤقتة يعقبه إنشاء Junction Point نحو System32. ركّز على أحداث Sysmon Event ID 11 (FileCreate) وEvent ID 12/13 (RegistryEvent).
4. تطبيق مبدأ أقل الصلاحيات بصرامة: راجع صلاحيات الحسابات المحلية على محطات العمل. حتى المستخدم العادي يمكنه استغلال BlueHammer، لذا قلّل قدرة الحسابات على إنشاء ملفات في مجلدات يراقبها Defender.
5. اختبار الاختراق الداخلي: أدرج سيناريو استغلال BlueHammer ضمن خطة اختبار الاختراق الدوري لتقييم فعالية ضوابط الكشف والاستجابة في بيئتك الفعلية.

الخلاصة

ثغرة BlueHammer تذكّرنا بحقيقة جوهرية: أدوات الحماية ليست محصّنة من الاستغلال، بل قد تتحوّل إلى أخطر نقاط الضعف حين تعمل بصلاحيات مرتفعة دون رقابة كافية. السلسلة الثلاثية من ثغرات Defender (BlueHammer وUnDefend وRedSun) تكشف أن الاعتماد على طبقة حماية واحدة — مهما كانت موثوقة — هو مخاطرة لا تتحمّلها المؤسسات المالية المنظّمة. الحل يبدأ بالتصحيح الفوري، ويستمر ببناء معمارية دفاعية متعددة الطبقات تفترض أن أي مكوّن قد يُخترق.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة فعالية أدوات الحماية وضوابط تصعيد الصلاحيات في بيئتك.