BlueHammer وRedSun وUnDefend: ثلاث ثغرات يوم صفر في Microsoft Defender تُستغل الآن — واثنتان منهما بلا تصحيح

في غضون 13 يوماً فقط، كشف باحثو الأمن عن ثلاث ثغرات يوم صفر متسلسلة تستهدف Microsoft Defender — حارس نقاط النهاية في أغلب المؤسسات المالية السعودية. الأخطر أن اثنتين منها، RedSun وUnDefend، لا تزالان بلا تصحيح حتى اليوم الثامن عشر من أبريل 2026، في حين أكدت شركة Huntress أن المهاجمين يوظّفون الثلاثة معاً في هجمات حقيقية تنتهي باختراق كامل لـ Active Directory.

BlueHammer (CVE-2026-33825): الثغرة الأولى التي فتحت الباب

في السابع من أبريل 2026، أُفصح عن CVE-2026-33825 المعروفة بـ"BlueHammer" مع إثبات مفهوم PoC كامل يتيح لأي مستخدم محلي غير مميز الحصول على صلاحيات SYSTEM على أنظمة Windows 10 وWindows 11 المُحدَّثة بالكامل. شكّلت الثغرة خطراً فورياً لأنها أُطلقت قبل توفر أي إصلاح رسمي. تعمل BlueHammer عبر استغلال خلل في منصة مكافحة البرامج الضارة في Defender يسمح بالكتابة فوق مسارات النظام، مما يمنح المهاجم القادر على تشغيل كود على الجهاز قفزةً مباشرة إلى أعلى مستويات الامتياز. قامت Microsoft بتصحيح هذه الثغرة ضمن تحديثات Patch Tuesday لأبريل 2026، غير أن المهاجمين كانوا قد استغلوها بالفعل لأسبوع كامل قبل صدور الإصلاح.

RedSun: آلية الحماية تتحول إلى سلاح

RedSun هي الأشد دهاءً في الثلاثي. تعتمد الثغرة على إساءة استخدام آلية استرجاع الملفات السحابية في Defender: حين يُصنَّف ملف على أنه خبيث ويُرسل إلى السحابة للتحليل، تعتمد الآلية على مسار انعدمت فيه عمليات التحقق الكافية. تستغل RedSun هذه اللحظة لاستبدال مسار نظام بملف خاضع لسيطرة المهاجم، محققةً تنفيذ كود بصلاحيات SYSTEM بموثوقية تقارب 100% على Windows 10 وWindows 11 وWindows Server 2019 وما تلاه — طالما كان Defender مفعّلاً. لا يزال RedSun بلا تصحيح، وتحمل الثغرة تصنيفاً خطورة مرتفعاً يستدعي التصرف الفوري.

UnDefend: تعطيل الدرع قبل الضربة

الثغرة الثالثة، UnDefend، تعمل بمنطق مختلف: لا تمنح صلاحيات مرتفعة مباشرةً، بل تُعطّل Defender ذاته. يتمكن مستخدم عادي دون امتيازات من حجب آلية تحديث قواعد بيانات التوقيعات في Defender أو تعطيل الخدمة كلياً، فاتحاً الباب أمام هجمات لاحقة دون أن يرصدها أي تنبيه. يجعل UnDefend المؤسسات المعتمدة بالكامل على Defender عُرضةً لبرامج خبيثة قديمة سبق لها إيقاع ضحايا بمجرد أن تنجح هذه الثغرة في تجميد التحديثات.

سلسلة الهجوم الكاملة: من جهاز موظف إلى Active Directory

رصدت Huntress أن المهاجمين يدمجون الثلاث ثغرات في سيناريو هجوم متكامل: يبدأون بإيصال ملفات الاستغلال المعاد تسميتها إلى مجلدات Pictures أو Downloads، ثم يُشغّلون BlueHammer أو RedSun لرفع الامتيازات إلى SYSTEM، فيعطّلون Defender باستخدام UnDefend لضمان العمل في صمت، ثم يستخرجون بيانات الاعتماد المخزنة ويبدؤون باستعراض Active Directory ورسم خريطة الشبكة. تكتمل هذه السلسلة بالتحرك الجانبي عبر بروتوكولات مثل SMB وRDP حتى بلوغ الأنظمة الأعمق. في بيئة مالية حيث تتركز بيانات العملاء وأنظمة الدفع خلف نفس الدومين، يعني اختراق Active Directory اختراقاً شاملاً.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

تتعرض البنوك وشركات التأمين وشركات الدفع العاملة في المملكة العربية السعودية تحت مظلة SAMA CSCC لضغط مضاعف. يُلزم إطار SAMA CSCC في نطاق "إدارة نقاط النهاية" بتحديث حلول الحماية وضمان فاعليتها بصورة مستمرة؛ فاستغلال UnDefend يُوقف هذه الفاعلية دون إنذار مرئي، وهو ما يُصعّب إثبات الامتثال أمام فرق التدقيق. كذلك يستدعي معيار NCA ECC تسجيل أحداث رفع الامتيازات ومراقبتها فورياً — وهو ما يعني أن غياب تسجيل الأنشطة المتعلقة بـ Defender قد يُشكّل ثغرة امتثالية موثقة في تقرير تدقيقك القادم. أما متطلبات PCI-DSS 4.0 في نطاق المتطلب 6.3 فتشترط معالجة الثغرات الحرجة في أقصر وقت ممكن، والنطاق الزمني للاستغلال الموثق يبدأ بمجرد نشر PoC.

التوصيات والخطوات العملية

1. تطبيق Patch Tuesday أبريل 2026 فوراً: ابدأ بتثبيت تحديثات Microsoft لأبريل 2026 على جميع نقاط النهاية. CVE-2026-33825 (BlueHammer) مُصحَّحة في هذه الدُفعة، وتأخيرها يبقي نصف سطح الهجوم مكشوفاً.
2. تفعيل مراقبة خدمة WinDefend: نظراً لأن UnDefend تستهدف مستوى الخدمة، أضف قاعدة SIEM ترصد أي إيقاف أو تعطيل غير متوقع لخدمة Windows Defender Anti-Malware. ربطها بتنبيه فوري إلى SOC.
3. رصد أحداث رفع الامتيازات بمعرف الحدث 4688: ابحث في سجلات Windows عن عمليات تبدأ بامتيازات مستخدم وتنتهي بامتيازات SYSTEM دون أن تمر بـ UAC أو sudo مشروع.
4. عزل نقاط النهاية الحساسة بـ VLAN: أنظمة محطات تداول الأوراق المالية وبوابات الدفع وخوادم SWIFT ينبغي ألا تكون في نفس الشريحة التي يتنقل فيها المهاجم بحرية بعد الحصول على SYSTEM.
5. إضافة طبقة حماية إضافية: في انتظار تصحيح RedSun وUnDefend، فكّر في تفعيل Microsoft Defender for Endpoint Plan 2 مع قدرات التحقيق الآلي، أو نشر حل EDR مكمّل يرصد السلوك بدلاً من الاعتماد الكامل على التوقيعات.
6. تقييم مستوى النضج في إدارة الثغرات: إذا مرّ أسبوع على صدور Patch Tuesday ولم تُطبَّق التحديثات بعد، فذلك مؤشر على خلل في دورة إدارة التصحيحات يستحق معالجة هيكلية.

الخلاصة

الأمر الأشد خطورة في هذه الأزمة ليس وجود ثغرات — الثغرات متوقعة في أي منتج برمجي — بل هو أن النافذة الزمنية بين الإفصاح والإصلاح باتت أضيق من دورات التصحيح التقليدية، وأن المهاجمين يستغلون هذا الفارق في الزمن بدقة جراحية. اثنتان من الثغرات الثلاث لا تزالان مفتوحتَين، وكل يوم إضافي يتأخر فيه فريق الأمن في إضافة عناصر تعويضية هو يوم يعمل فيه المهاجم دون عائق.

هل مؤسستك قادرة على رصد هذا النوع من الهجمات الآن؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد فجوات رصد نقاط النهاية لديك.