ثغرة Chrome الحرجة CVE-2026-7896: تنفيذ كود يهدد موظفي بنوك SAMA

كشفت Google يوم 6 مايو 2026 عن ثغرة حرجة في محرك Blink الذي يشغّل متصفحي Chrome وEdge، حملت الرمز CVE-2026-7896 بدرجة CVSS 9.6. ظهور كود إثبات استغلال (PoC) على GitHub خلال أقل من 24 ساعة يضع البنوك الخاضعة لرقابة SAMA في سباق محموم لإغلاق الفجوة قبل أن تتحول إلى ناقل اختراق فعلي عبر محطات الموظفين.

تشريح ثغرة CVE-2026-7896 في محرك Blink

الثغرة عبارة عن فيض عددي صحيح (Integer Overflow) في عمليات معالجة كائنات DOM داخل محرك Blink، يؤدي إلى إفساد الكومة (Heap Corruption) عند زيارة صفحة HTML معدّة بعناية. تطال الثغرة جميع نسخ Chrome وEdge السابقة للنسخة 148.0.7778.96، وهي تعمل بدون تفاعل المستخدم ما عدا تحميل الصفحة. تصنيف Google لها بـ Critical يرجع إلى إمكانية الإفلات من Sandbox المتصفح عند ربطها بثغرة محلية ثانية لتصعيد الامتيازات داخل نظام التشغيل المضيف.

سيناريو الاستغلال المتوقع ضد القطاع المالي

الناقل الأرجح في البيئة المصرفية هو حملة تصيد موجّه (Spear Phishing) تستهدف موظفي العمليات أو خزينة الفرع برسائل تتضمن روابط لصفحات خبيثة تحاكي بوابات تسجيل دخول داخلية. عند فتح الرابط في متصفح غير مُحدّث، يحصل المهاجم على تنفيذ كود عن بُعد ضمن سياق المتصفح، وهي خطوة كافية لزرع برمجية Beacon من نوع Cobalt Strike أو Sliver، ثم البدء في الحركة الجانبية نحو خوادم Active Directory. حملات APT المعروفة مثل Lazarus وUNC4326 سبق أن وظّفت ثغرات Blink مماثلة في 2024 و2025 ضد منشآت مالية في آسيا.

التأثير على المؤسسات المالية الخاضعة لـ SAMA

تفرض ضوابط SAMA Cyber Security Framework في الفصل 3.3.5 إدارة ثغرات صارمة على نقاط النهاية، مع إلزام بتطبيق التحديثات الحرجة خلال 72 ساعة من الإفصاح. كذلك يطالب إطار NCA ECC في الضابط 2-10-3 بمراقبة الثغرات وتصنيفها وفق سياسة موثّقة. عجز البنك عن الترقيع في النافذة الزمنية المطلوبة قد يُترجم إلى ملاحظة تدقيق مرتفعة الخطورة، خصوصاً أن الثغرة تُصنَّف ضمن CISA Known Exploited Vulnerabilities Catalog مما يعني التزاماً تنظيمياً مزدوجاً للبنوك المرتبطة بشبكات SWIFT وVisa وMastercard التي تشترط التوافق مع PCI-DSS المتطلب 6.3.3.

الخطوات العملية للاحتواء خلال 24 ساعة

1. إصدار تحديث طارئ عبر Microsoft Intune أو Group Policy لرفع جميع محطات Chrome إلى 148.0.7778.96 أو أحدث، وEdge إلى النسخة المقابلة، مع تفعيل تقرير الامتثال خلال 6 ساعات.
2. تفعيل سياسة Site Isolation الكاملة وتعطيل JIT JavaScript مؤقتاً عبر سياسة JavascriptJitDisabledForSites للمحطات التي تعالج بيانات حسّاسة في إدارات الخزينة والامتثال.
3. إضافة قواعد كشف على EDR (CrowdStrike, SentinelOne, Defender for Endpoint) ترصد العمليات الفرعية غير المعتادة من chrome.exe مثل powershell.exe أو rundll32.exe.
4. توجيه فلاتر البريد (Proofpoint, Mimecast) لحجز الروابط القصيرة وروابط النطاقات المسجّلة حديثاً (Newly Registered Domains) لأقل من 14 يوماً، فهي الناقل الأشيع لاستغلالات Blink.
5. إجراء Threat Hunt يدوي في سجلات Sysmon (Event ID 1 و3) للكشف عن عمليات Chrome تنشئ اتصالات صادرة إلى عناوين IP مدرجة في تغذيات Mandiant وRecorded Future المرتبطة بـ CVE-2026-7896.
6. مراجعة نقاط نهاية البائعين الخارجيين (Third Parties) المتصلين عبر Citrix أو VPN، لأن أي محطة غير مُحدّثة لديهم تتحول إلى نقطة دخول وفق متطلب SAMA Third Party Cyber Security 4.1.
7. توثيق العملية في سجل إدارة الحوادث (IRP) وتقديم بلاغ أولي لمركز عمليات الأمن السيبراني NCA ضمن المهلة الإلزامية إذا رُصد أي مؤشر اختراق.

دلالات أعمق لاستراتيجية إدارة الثغرات

سرعة ظهور كود الاستغلال (أقل من 24 ساعة) تؤكد مجدداً أن نموذج الترقيع الشهري لم يعد كافياً للمؤسسات المالية. التوصية المتقدمة هي الانتقال إلى Continuous Threat Exposure Management (CTEM) مع دمج تغذيات تهديدات في الوقت الفعلي وأتمتة التحقق من الترقيعات عبر أدوات مثل Tenable VM وQualys VMDR. كذلك ينبغي اعتبار المتصفح "نقطة نهاية حرجة" تستحق سياسة تشديد منفصلة تشمل توقيع الإضافات (Extension Allowlisting) ومنع التزامن مع حسابات شخصية على أجهزة العمل.

الخلاصة

CVE-2026-7896 ليست مجرد ثغرة متصفح، بل اختبار حقيقي لقدرة بنوك المملكة على الاستجابة ضمن نوافذ SAMA الزمنية الصارمة. المؤسسات التي تمتلك أتمتة ترقيع ناضجة وكشف سلوكي على EDR ستجتاز هذا الأسبوع بسهولة، أما المتأخرة في تحديث محطاتها فستجد نفسها أمام نقطة دخول جاهزة لأي مهاجم يستخدم كود الاستغلال المنشور علناً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص جاهزية إدارة الثغرات على نقاط النهاية.