CVE-2026-32202: ثغرة Windows Shell صفرية النقرة تسرّب بيانات اعتماد بنوك SAMA

في 28 أبريل 2026، أكدت Microsoft الاستغلال النشط لثغرة جديدة في مكون Windows Shell تحمل الرقم CVE-2026-32202، تتيح سرقة بيانات اعتماد NTLMv2 بنقرة صفرية. الثغرة مدرجة في كتالوج CISA KEV مع موعد ترقيع نهائي للجهات الفيدرالية الأمريكية في 12 مايو 2026، وهي ناتجة عن ترقيع غير مكتمل لثغرة سابقة استغلتها مجموعة APT28 الروسية.

تشريح الثغرة: كيف تتحول ملفات LNK إلى سلاح صامت

تعود جذور CVE-2026-32202 إلى ثغرة CVE-2026-21510 التي كشفها باحثو Akamai سابقاً واستغلتها مجموعة Fancy Bear (APT28). ركّز ترقيع Microsoft الأول على منع التنفيذ عن بُعد (RCE) وتجاوز Defender SmartScreen، لكنه ترك فجوة بين تحليل المسار (path resolution) والتحقق من الثقة. هذه الفجوة سمحت بظهور متجه جديد لسرقة بيانات الاعتماد عبر ملفات الاختصارات LNK المعالجة تلقائياً.

السيناريو الهجومي مرعب في بساطته: يكفي أن يصل ملف LNK مُعدّ بعناية إلى محطة عمل الموظف عبر بريد إلكتروني، أو رابط تنزيل، أو حتى مشاركة شبكية. عند فتح المستخدم للمجلد الذي يحتوي الملف، يحاول Windows Explorer تحميل أيقونة الاختصار، فيُنشئ بشكل صامت اتصال SMB بخادم المهاجم. لا يحتاج المستخدم للنقر على الملف — مجرد عرضه كافٍ.

سرقة NTLMv2 وتحويلها إلى اختراق كامل

ما يتسرّب عبر هذا الاتصال هو هاش Net-NTLMv2 الخاص بالمستخدم. ورغم أن Microsoft منحت الثغرة تقييم CVSS متواضعاً يبلغ 4.3، إلا أن الباحثين يؤكدون أن هذا التقييم يُقلّل من خطورتها الفعلية. يستطيع المهاجم استخدام الهاش بطريقتين خطيرتين: الأولى عبر هجمات NTLM Relay لإعادة استخدامه فوراً ضد خوادم أخرى لا تفرض SMB Signing أو LDAP Channel Binding، والثانية عبر كسره خارج الشبكة باستخدام أدوات مثل Hashcat لاستخراج كلمة المرور الأصلية.

في بيئة بنكية نموذجية، إذا كان الهاش المسروق يخص مهندس Active Directory أو مسؤول قواعد البيانات، فإن وقت الانتقال من اختراق محطة عمل واحدة إلى السيطرة على Domain Controller قد لا يتجاوز ساعات. الأدوات المطلوبة (Responder، ntlmrelayx، Impacket) متاحة مجاناً في كل توزيعات اختبار الاختراق.

التأثير على المؤسسات المالية السعودية

تعتمد الغالبية العظمى من البنوك السعودية الخاضعة لرقابة البنك المركزي السعودي (SAMA) على بيئات Active Directory مدمجة مع بروتوكولات NTLM للتوافق مع التطبيقات القديمة (Legacy Applications)، خاصة في أنظمة Core Banking وERP المالي. هذا الواقع يجعل CVE-2026-32202 تهديداً مباشراً لمتطلبات إطار عمل SAMA Cyber Security Framework (CSCC)، وتحديداً الضوابط:

الضابط 3.3.5 (إدارة الثغرات) الذي يُلزم البنوك بدورة ترقيع منظمة للأنظمة الحرجة، والضابط 3.3.14 (حماية النقاط الطرفية) الذي يستوجب رصد محاولات سرقة بيانات الاعتماد، والضابط 3.3.7 (إدارة الهوية والوصول) الذي يفرض مبدأ الحد الأدنى من الامتيازات. كذلك يتقاطع التهديد مع متطلبات NCA ECC في الضابط 2-7 المتعلق بأمن الشبكات، وقد يُسبّب اختراقه إفصاحاً قسرياً وفق نظام حماية البيانات الشخصية PDPL إذا أدى إلى تسريب بيانات العملاء.

التوصيات والخطوات العملية للترقيع والكشف

على فرق الأمن السيبراني في البنوك السعودية اتخاذ هذه الخطوات بشكل عاجل:

1. تطبيق ترقيع أبريل 2026 الطارئ من Microsoft على جميع محطات العمل والخوادم التي تشغّل Windows 10/11 وWindows Server خلال نافذة لا تتجاوز 72 ساعة عبر WSUS أو Intune أو SCCM.
2. تعطيل NTLM تدريجياً والانتقال إلى Kerberos حصرياً عبر سياسة المجموعة (GPO): "Network security: Restrict NTLM" مع البدء بوضع التدقيق ثم التطبيق الكامل.
3. فرض SMB Signing وLDAP Channel Binding على جميع الخوادم الحرجة (Domain Controllers، File Servers، Exchange) لكسر هجمات Relay حتى لو تسرّب الهاش.
4. حظر منافذ SMB الصادرة (445/139) على مستوى جدار الحماية المحيطي لمنع تسريب الهاشات إلى خوادم خارجية.
5. تفعيل قواعد كشف في SIEM ترصد محاولات مصادقة NTLMv2 الفاشلة والمتكررة، وحركة SMB غير المعتادة من محطات المستخدمين، وإنشاء ملفات LNK بمسارات UNC بعيدة.
6. تنفيذ Threat Hunting استرجاعي لآخر 60 يوماً عبر Microsoft Defender for Endpoint أو CrowdStrike Falcon للبحث عن أنماط استغلال APT28 المعروفة (TTPs المرتبطة بـ Forest Blizzard).
7. تحديث برنامج التوعية وتدريب الموظفين على التعامل مع الملفات المرفقة وروابط المشاركة، خاصة في الإدارات المالية والائتمانية.

الخلاصة

ثغرة CVE-2026-32202 تذكير صارخ بأن الترقيعات الجزئية تخلق ديوناً أمنية تظهر في أسوأ توقيت. بالنسبة للبنوك السعودية التي تعمل تحت رقابة SAMA المتشددة، فإن السماح بتسرب هاش NTLMv2 واحد قد يفتح الباب لاختراق كامل للمجال (Domain Compromise) خلال ساعات، مع تبعات تنظيمية وسمعية ومالية لا يمكن حصرها. السرعة في الترقيع والتخلص التدريجي من NTLM لم تعد خياراً، بل ضرورة امتثال.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة تكوينات Active Directory وسياسات NTLM وقدرة الكشف عن هجمات سرقة بيانات الاعتماد.