CVE-2026-32202: ثغرة Windows Shell الصفرية تهدد بنوك SAMA

كشفت أبحاث Akamai في أبريل 2026 عن ثغرة Windows Shell صفرية النقر (CVE-2026-32202) تستغلها مجموعة APT28 الروسية لسرقة بصمات NTLM دون أي تفاعل من المستخدم. أصدرت CISA أمراً عاجلاً بترقيع الأنظمة قبل 12 مايو 2026، مما يضع بنوك SAMA أمام تحدٍّ مباشر لحماية محطات الموظفين والخوادم الحساسة.

ما هي ثغرة CVE-2026-32202 وكيف تعمل تقنياً؟

الثغرة من نوع NTLM Hash Leak صفري النقر تؤثر على واجهة Windows Explorer في إصدارات Windows 10 و11 وWindows Server 2019/2022. عندما يفتح المستخدم مجلداً يحتوي ملف اختصار LNK خبيثاً، يستدعي Windows دالة PathFileExistsW داخل GetModuleMapped لتحليل مسار UNC المضمن في الملف. هذا التحليل يُجبر النظام على بدء اتصال SMB تلقائياً مع خادم المهاجم وإرسال بصمة Net-NTLMv2 الخاصة بالمستخدم دون الحاجة لفتح الملف أو النقر عليه. يكفي تصفّح المجلد فقط — حتى لو كان مجلد التنزيلات أو مرفقات البريد المستخرجة — ليتم تسريب بصمة الاعتماد إلى البنية التحتية للمهاجم.

إخفاق الترقيع الأول وسلسلة الاستغلال من APT28

اكتشفت Akamai في يناير 2026 استغلال مجموعة APT28 (المعروفة بـ Fancy Bear) لثغرة CVE-2026-21510 وهي ثغرة تنفيذ كود عن بُعد، فأصدرت Microsoft ترقيعاً في تحديثات Patch Tuesday لشهر فبراير. غير أن الترقيع كان منقوصاً وترك خلفه مساراً جديداً للاستغلال — هو ما عُرف لاحقاً بـ CVE-2026-32202 — أعادت Akamai الإبلاغ عنه فأصدرت Microsoft الترقيع الكامل في تحديثات 14 أبريل 2026. أضافت CISA الثغرة إلى كتالوج Known Exploited Vulnerabilities وألزمت الجهات الفيدرالية بمعالجتها قبل 12 مايو 2026، وهو ما يعكس حجم الاستغلال الفعلي الجاري في البرية.

التأثير على المؤسسات المالية السعودية

تشكّل بصمات NTLM المسرَّبة بوابة دخول مثالية للحركة الجانبية داخل شبكات البنوك السعودية. يستطيع المهاجم استخدام الهاش المسروق في هجمات Pass-the-Hash أو NTLM Relay للتنقل بين خوادم Active Directory، الأمر الذي يخالف مباشرة متطلبات إطار SAMA CSCC في النطاقات 3.3.5 (إدارة الهوية والوصول) و3.3.14 (الحماية من البرمجيات الخبيثة) و3.3.7 (إدارة الثغرات الأمنية). كذلك يمس التهديد بنود NCA ECC في الضابطين 2-3-3 و2-7-1 المتعلقَين بإدارة الثغرات وحماية الأجهزة الطرفية. ولا يقف الأثر عند هذا الحد؛ فالتزامات نظام حماية البيانات الشخصية PDPL تُلزم المؤسسات بإبلاغ هيئة البيانات الوطنية SDAIA خلال 72 ساعة من أي خرق مُحتمل لبصمات الاعتماد قد يقود إلى وصول غير مصرح به لبيانات العملاء. الأخطر أن سرقة بصمة حساب خدمة مرتفع الصلاحيات قد تفتح الباب لاختراق منصات الدفع المتصلة بشبكتي سداد ومدى وأنظمة المقاصة المركزية.

التوصيات والخطوات العملية لفرق SOC وCISO السعودية

1. تطبيق تحديث Microsoft الصادر بتاريخ 14 أبريل 2026 على جميع نقاط النهاية والخوادم العاملة بأنظمة Windows 10/11 وWindows Server 2019/2022 خلال نافذة لا تتجاوز 7 أيام، مع توثيق التحديث في سجل إدارة التغيير وفق متطلبات SAMA CSCC 3.3.6.
2. تعطيل بروتوكول NTLM في حسابات الخدمات وحسابات الإدارة، وفرض استخدام Kerberos حصراً عبر سياسة "Network Security: Restrict NTLM" المنشورة بـ GPO على جميع الوحدات التنظيمية الحساسة.
3. حظر الاتصالات الصادرة عبر منفذ SMB (TCP/445) إلى عناوين IP خارج النطاق الداخلي على مستوى جدران الحماية ومحركات Web Proxy، مع إنشاء استثناءات صريحة فقط للشركاء المعروفين.
4. تفعيل ميزة SMB Signing وExtended Protection for Authentication (EPA) على جميع الخوادم الحساسة بما فيها خوادم البريد Exchange وقواعد البيانات المصرفية الأساسية وأنظمة Core Banking.
5. نشر قواعد كشف Sigma وYARA لرصد ملفات LNK المشبوهة في مجلدات Downloads وTemp وStartup، وإضافة تنبيهات في منصة SIEM لاتصالات SMB غير الاعتيادية الصادرة من محطات المستخدمين.
6. إجراء عملية صيد تهديدات Threat Hunting تستهدف مؤشرات APT28 خلال آخر 90 يوماً، بالاعتماد على تقنيات MITRE ATT&CK T1187 (Forced Authentication) وT1557 (Adversary-in-the-Middle) وT1003.006 (OS Credential Dumping: DCSync).
7. تحديث منصات DLP لرصد تسرب ملفات LNK عبر قنوات البريد والمشاركة السحابية مثل OneDrive وSharePoint، مع تطبيق مبادئ Zero Trust على وصول الفروع إلى الخوادم المركزية وفق نموذج الهوية المحددة Identity-Defined Perimeter.

الخلاصة

ثغرة CVE-2026-32202 ليست مجرد خطأ في ترقيع — بل دليل على أن المهاجمين المتقدمين كـ APT28 يراقبون تحديثات Microsoft عن كثب ويبحثون عن الثغرات المتبقية في الترقيعات الجزئية. القطاع المالي السعودي، بحكم ارتباطه المباشر بشبكتي سداد ومدى ومركز عمليات بنك SAMA، لا يحتمل تأخيراً في معالجة ثغرات تسرب الاعتماد. والتزام المؤسسات بمواعيد CISA الفيدرالية ليس إلزاماً تنظيمياً بالنسبة لها، لكنه معيار صناعي واضح ينبغي تبنيه لتجنب أن تكون المؤسسة نقطة الضعف الأولى في سلسلة هجوم متطورة قد تنتهي بفقدان السيطرة على Active Directory بأكمله.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.