CVE-2026-32202: ثغرة Windows Shell صفرية النقر تهدد بنوك SAMA

في 28 أبريل 2026 أكدت Microsoft أن ثغرة CVE-2026-32202 في Windows Shell تتعرض لاستغلال نشط، ووضعتها CISA على قائمة KEV بمهلة إصلاح حتى 12 مايو. ما يجعل هذه الثغرة استثنائية أنها صفرية النقر (zero-click) وتنبع من ترقيع غير مكتمل لثغرة استغلتها مجموعة APT28 الروسية مطلع العام، مما يضع بنوك SAMA السعودية أمام مخاطر تسريب بيانات اعتماد المجال (Domain Credentials) دون أي تفاعل من المستخدم.

تفاصيل ثغرة Windows Shell الصفرية CVE-2026-32202

اكتشف باحثو Akamai أن ترقيع Microsoft الصادر في فبراير لمعالجة CVE-2026-21510 — التي استخدمتها مجموعة APT28 (Fancy Bear) — لم يعالج ناقل الهجوم بالكامل. الفجوة الزمنية بين عملية تحليل المسار (Path Resolution) وعملية التحقق من الثقة (Trust Verification) تركت نافذة استغلال جديدة. عند فتح مجلد يحتوي ملف اختصار LNK مُجهّز خصيصاً يشير إلى مسار UNC مثل ‎\\attacker.com\share\payload.cpl‎، يبادر Windows تلقائياً بإنشاء جلسة SMB إلى خادم المهاجم، ويُرسل هاش Net-NTLMv2 الخاص بالمستخدم خلال مصافحة المصادقة الأوتوماتيكية.

السمة الأخطر هي أن المستخدم لا يحتاج إلى النقر على الملف؛ مجرد عرض المجلد في File Explorer أو وصول بريد إلكتروني يحتوي مرفقاً مضغوطاً يكفي لتسريب الهاش. الهاش المُسرَّب قابل للاستخدام في هجمات NTLM Relay وReplay وOffline Cracking، مما يفتح الباب لاستيلاء كامل على هوية الموظف داخل Active Directory.

سياق التهديد: APT28 والقطاع المالي

مجموعة APT28 — المرتبطة بجهاز الاستخبارات العسكرية الروسية GRU — لها تاريخ موثق في استهداف المؤسسات المالية والحكومية. Akamai رصدت الاستغلال الأصلي في يناير 2026، واليوم تنتشر أدوات استغلال CVE-2026-32202 في منتديات الجريمة السيبرانية، مما يعني أن الجهات المهاجمة لم تعد محصورة في مجموعات التهديد المتقدم المستمر (APT). وفقاً لتقرير Q1 2026 من Sophos، فإن استغلال الثغرات يمثل 40% من الأسباب الجذرية لهجمات الفدية على القطاع المالي، وهاشات NTLM المسروقة هي حجر الأساس للحركة الجانبية (Lateral Movement) داخل شبكات البنوك.

التأثير على المؤسسات المالية السعودية

بنوك SAMA تعتمد بكثافة على بيئات Windows في محطات العمل ومنصات إدارة الفروع وأنظمة التداول الداخلية. تسريب هاش Net-NTLMv2 لمسؤول مجال أو مهندس SOC يعني فعلياً اختراق طبقة الهوية بأكملها، وهو ما يتعارض مباشرة مع متطلبات إطار SAMA Cyber Security Controls Compliance (CSCC) في المجالات التالية:

الضابط 3.3.5 المتعلق بإدارة الهوية والوصول يُلزم البنوك بتطبيق مصادقة قوية ومنع استخدام بروتوكولات قديمة مثل NTLMv1. الضابط 3.3.14 الخاص بإدارة الثغرات يحدد سقفاً زمنياً لإصلاح الثغرات الحرجة لا يتجاوز 30 يوماً من الإفصاح. كذلك يتطلب نظام حماية البيانات الشخصية (PDPL) إخطار سدايا والمتأثرين خلال 72 ساعة عند أي اختراق ينتج عن استغلال هذه الثغرة، فيما تربط ضوابط NCA ECC-2:2024 المؤسسات بوجوب تطبيق ضوابط حماية ضد هجمات Pass-the-Hash وRelay على مستوى البنية التحتية.

التوصيات والخطوات العملية

1. تطبيق تحديث Microsoft الصادر في 28 أبريل 2026 على جميع نقاط النهاية وخوادم Windows قبل 12 مايو، مع إعطاء الأولوية لمحطات المسؤولين ومحطات التداول.
2. تفعيل Extended Protection for Authentication (EPA) وSMB Signing على جميع خوادم الملفات وحسابات الخدمة، وإيقاف NTLMv1 بشكل قسري عبر سياسة المجموعة.
3. حظر اتصالات SMB الصادرة (المنفذ 445 وUDP 137-139) من شبكات المستخدمين إلى الإنترنت عبر جدران الحماية المحيطية، وهي توصية NSA منذ 2017 ومعظم البنوك لم تطبقها بعد.
4. تفعيل قواعد Attack Surface Reduction في Microsoft Defender — تحديداً قاعدة "Block all Office applications from creating child processes" وقاعدة "Block credential stealing from the Windows local security authority subsystem".
5. مراقبة سجلات 4624 و4625 و4776 في Event Log عن مصادقات NTLM شاذة باتجاه عناوين IP خارجية، وإنشاء قواعد كشف في SIEM لرصد محاولات Relay عبر أدوات مثل Responder وImpacket.
6. إجراء جرد فوري لملفات LNK المشبوهة في مجلدات المستخدمين والمشاركات الشبكية، خصوصاً تلك التي تحتوي مسارات UNC تشير إلى نطاقات خارجية.
7. تحديث خطة الاستجابة للحوادث وتدريب فريق SOC على سيناريو استغلال هذه الثغرة، مع توثيق إجراءات الإخطار وفق متطلبات SAMA وPDPL.

الخلاصة

ثغرة CVE-2026-32202 ليست مجرد ترقيع جديد، بل درس واضح في أن الترقيعات الجزئية تخلق سطح هجوم جديد. بنوك SAMA التي تعتمد على هويات Active Directory دون تفعيل ضوابط NTLM Relay الحديثة معرضة لاختراق صامت يتعارض مع متطلبات CSCC والـ PDPL. الإصلاح الفوري وتطبيق ضوابط SMB Signing وEPA ليست خياراً، بل التزام تنظيمي ملزم.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة جاهزية بيئة Active Directory ضد هجمات NTLM Relay.