BlueHammer (CVE-2026-33825): ثغرة Microsoft Defender تهدد بنوك SAMA

أضافت وكالة الأمن السيبراني الأمريكية CISA ثغرة BlueHammer المعروفة بـ CVE-2026-33825 إلى كتالوج الثغرات المُستغلة فعلياً (KEV) بعد رصد استغلالها منذ العاشر من أبريل 2026. الثغرة تصيب Microsoft Defender — الحارس الافتراضي على آلاف نقاط النهاية في بنوك SAMA السعودية — وتسمح بتصعيد الصلاحيات من مستخدم محدود إلى SYSTEM في دقائق.

كيف تعمل ثغرة BlueHammer داخل Microsoft Defender

الثغرة من نوع TOCTOU (Time-of-Check to Time-of-Use) في آلية تحديث تواقيع Defender. يستغل المهاجم آليات Operation Locks (oplocks) لتجميد عملية Defender أثناء قراءة التحديث، ثم يخدع المنتج لينسخ قاعدة بيانات Security Account Manager (SAM) إلى مجلد المخرجات الخاص به. بمجرد الحصول على ملف SAM، يقوم الكود الخبيث بفك تشفير قيم NT Hash لجميع المستخدمين المحليين، وتغيير كلمات المرور مؤقتاً، ثم استخدام الجلسات الجديدة لتنفيذ أوامر بصلاحيات NT AUTHORITY\SYSTEM. الباحث الذي اكتشف الثغرة باسم Chaotic Eclipse نشر إثبات المفهوم (PoC) على GitHub في الثاني من أبريل، وهو ما عجّل بتحويلها إلى سلاح فعّال.

سلسلة الاستغلال المرصودة في الهجمات الفعلية

رصدت Huntress Labs نمطاً متكرراً يبدأ بالدخول الأولي عبر اتصال SSL VPN على جدار حماية FortiGate باستخدام بيانات اعتماد مسربة أو ضعيفة. بعد الوصول إلى محطة عمل داخلية، ينشر المهاجم BlueHammer لتصعيد الصلاحيات، ثم ينتقل أفقياً عبر استغلال هاشات NT المُستخرجة في هجمات Pass-the-Hash. هذا المسار يطابق تكتيكات MITRE ATT&CK من T1068 (Exploitation for Privilege Escalation) إلى T1550.002 (Pass the Hash). الخطورة الحقيقية تكمن في أن Defender نفسه — أداة الكشف — يصبح أداة الهجوم، مما يُربك أنظمة الرصد التقليدية ويُقلل احتمالية التنبيه.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

غالبية بنوك المملكة تعتمد على Microsoft Defender for Endpoint كحل EDR رئيسي على نقاط نهاية الموظفين، إضافة إلى استخدام واسع لجدران FortiGate في حماية محيط الشبكة — وهو بالضبط مزيج البيئة المُستهدفة في الهجمات الفعلية. وفق إطار SAMA Cyber Security Control Compliance (CSCC) في الضابط 3.3.5 الخاص بحماية نقاط النهاية، يُلزم البنك بالحفاظ على فاعلية حلول الحماية وتحديثها فور صدور التصحيحات الأمنية. كما يفرض الضابط 3.3.14 الخاص بإدارة الثغرات تطبيق التحديثات الحرجة خلال مدة لا تتجاوز 30 يوماً، وفي حالة الاستغلال النشط ينخفض هذا السقف إلى 72 ساعة وفق إرشادات الهيئة الوطنية للأمن السيبراني NCA ECC في الضابط 2-10. أي تأخر يُشكّل مخالفة موثقة قابلة للرصد في تقييم النضج السيبراني.

التوصيات والخطوات العملية للاستجابة الفورية

1. تطبيق تحديث Defender Platform المُصدر من مايكروسوفت فوراً على جميع نقاط النهاية بصرف النظر عن نافذة الصيانة المعتادة، مع توثيق الاستثناء في سجل التغيير CAB.
2. تفعيل قاعدة كشف Sigma خاصة بمراقبة عمليات نسخ ملف SAM (C:\Windows\System32\config\SAM) إلى مسار مجلد Defender (C:\ProgramData\Microsoft\Windows Defender)، وربطها بـ SOC على مستوى أولوية حرجة.
3. مراجعة سجلات FortiGate VPN خلال آخر 30 يوماً للبحث عن جلسات SSL VPN غير معتادة، خاصة من نطاقات IP خارج السعودية أو في أوقات غير عمل، وتفعيل المصادقة الثنائية MFA المقاومة للتصيد عبر FIDO2.
4. إعادة تعيين كلمات مرور جميع الحسابات المحلية المميزة على الخوادم المعرضة، مع تطبيق LAPS (Local Administrator Password Solution) لتدوير كلمات المرور تلقائياً.
5. تنفيذ بحث استباقي Threat Hunting باستخدام Microsoft Defender Advanced Hunting لرصد عمليات استدعاء lsass.exe من سياقات غير طبيعية، ومراقبة استخدام أدوات Mimikatz أو secretsdump.py.
6. عزل أي محطة عمل تُظهر مؤشرات اختراق (IoCs) مرتبطة بالحملة، ورفع تقرير حادثة وفق الضابط 3.4.1 من SAMA CSCC إلى مركز عمليات SAMA SOC خلال الإطار الزمني المحدد.

الخلاصة

ثغرة BlueHammer ليست مجرد CVE جديدة في قائمة طويلة، بل تذكير قاسٍ بأن أدوات الحماية ذاتها قد تتحول إلى ناقل هجوم. بنوك SAMA التي تعتمد على Microsoft Defender في معمارية الدفاع متعدد الطبقات يجب أن تتعامل مع هذه الثغرة باعتبارها حدثاً عالي الأولوية، ليس فقط بسبب الاستغلال النشط، بل لأن الموعد النهائي الفيدرالي الأمريكي (6 مايو 2026) يضع معياراً عالمياً سيُقاس به التزام المؤسسات المنظمة. التأخر في التصحيح اليوم يعني عبئاً تنظيمياً مضاعفاً غداً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة جاهزية الاستجابة لثغرات اليوم الصفري.