CVE-2026-33825: ثغرة رفع الصلاحيات في Microsoft Defender وشيفرة BlueHammer العلنية — تهديد مباشر لبيئات المؤسسات المالية السعودية

في الرابع عشر من أبريل 2026، أصدرت Microsoft تحديثات أمنية لـ 167 ثغرة ضمن دورة Patch Tuesday الشهرية، غير أن ثغرة واحدة بعينها استأثرت باهتمام مجتمع الأمن السيبراني بشكل غير مسبوق: CVE-2026-33825، ثغرة رفع الصلاحيات في منصة مكافحة البرمجيات الخبيثة Microsoft Defender، والتي يُصاحبها كود استغلال (PoC) علني يُعرف بـ BlueHammer — ما يحوّلها من ثغرة نظرية إلى تهديد عملي قابل للتطبيق من أي مهاجم محلي.

ما هي CVE-2026-33825 وما خطورتها الحقيقية؟

صنّفت Microsoft هذه الثغرة بدرجة CVSS تبلغ 7.8 من 10، وهي ثغرة رفع صلاحيات محلية (Local Privilege Escalation) تؤثر في منصة Microsoft Defender Antimalware. تنبثق المشكلة من ضعف في ضبط التحكم بالوصول داخل خدمة Defender، إذ يستطيع مهاجم مصادَق عليه بصلاحيات منخفضة رفع امتيازاته إلى مستوى SYSTEM — أعلى درجات التحكم في نظام Windows. الأخطر أن Microsoft أعلنت أن الثغرة مكشوفة علنياً مع وجود كود إثبات المفهوم، وأنها صنّفتها كـ "Exploitation More Likely" أي أن احتمالية استغلالها الفعلي مرتفع جداً.

أصدر باحث أمني يعرّف عن نفسه بـ "Chaotic Eclipse" شيفرة BlueHammer على GitHub في مطلع أبريل 2026، مما أتاح للمهاجمين من ذوي المهارات المحدودة نقطة انطلاق جاهزة. البنية الأساسية للهجوم بسيطة: يُصعّد المهاجم صلاحياته إلى SYSTEM، ثم يُعطّل Defender نفسه أو أي أداة EDR أخرى، ويُثبّت برمجيات خبيثة دائمة، ويحصد بيانات الاعتماد المخزّنة، وينتقل أفقياً عبر الشبكة الداخلية.

تفاصيل BlueHammer: كيف يعمل الاستغلال؟

يستهدف BlueHammer خللاً في التحكم بالوصول داخل عمليات Defender ذات الامتيازات العالية. يرسل الكود طلبات مشوّهة عبر واجهة برمجية داخلية في خدمة MsMpEng.exe، مستغلاً غياب التحقق الكافي من هوية المُرسِل. النتيجة: تنفيذ أوامر تعسفية بامتيازات SYSTEM دون الحاجة إلى استغلال ثغرات إضافية في النظام. الثغرة تُصنّف كـ "Local" مما يعني أن المهاجم يحتاج أولاً إلى موطئ قدم على الجهاز المستهدف — سواء عبر تصيد احتيالي أو استغلال ثغرة أخرى — لكن بمجرد الوصول الأولي، يصبح BlueHammer مساراً فعالاً لتصعيد الهجوم بالكامل. هذا النمط المُركّب (Initial Access + LPE) هو ما تعتمد عليه مجموعات برامج الفدية كـ Qilin وBlackMatter تحديداً.

التأثير على المؤسسات المالية السعودية

تعتمد الغالبية العظمى من البيئات المؤسسية السعودية على Microsoft Defender سواء كحل وقائي مستقل أو بالتكامل مع Microsoft Defender for Endpoint ضمن منصة Microsoft 365. في السياق التنظيمي، تُلزم SAMA CSCC (إطار عمل الأمن السيبراني للبنوك المركزية) المؤسسات المالية الخاضعة لرقابة SAMA بالحفاظ على برامج مكافحة البرمجيات الخبيثة محدّثة باستمرار وضمان فاعليتها — وهو ما تُهدده CVE-2026-33825 مباشرةً حين يستطيع المهاجم تعطيل Defender بعد رفع صلاحياته. كذلك تشترط NCA ECC-1:2-6.4 توفير ضوابط صارمة على إدارة الامتيازات، ويُشكّل وجود ثغرة LPE بدون تعويض تقني انتهاكاً مباشراً لهذا المتطلب. من جهة بيانات العملاء، فإن وصول المهاجم إلى مستوى SYSTEM يعني قدرته الكاملة على الوصول إلى بيانات شخصية بمفهوم نظام PDPL — مما يرفع درجة الخطر من تقني إلى تنظيمي وقانوني.

التوصيات والخطوات العملية الفورية

1. التحقق الفوري من إصدار Defender: تأكد أن جميع الأجهزة تشغّل Microsoft Defender Antimalware Platform الإصدار 4.18.26030.3011 أو أحدث. في بيئات الدومين، يمكن التحقق عبر GPO أو Microsoft Intune أو WSUS. الأجهزة المتصلة بالإنترنت تحدّث Defender تلقائياً، لكن البيئات المعزولة (Air-gapped) تستدعي التحقق اليدوي.
2. مراجعة سياسات Least Privilege: طبّق مبدأ أدنى صلاحية ضرورية على جميع الحسابات. مستخدم منخفض الصلاحيات مع تطبيق صارم لـ Least Privilege يُصعّب استغلال CVE-2026-33825 حتى لو كان الجهاز غير محدّث.
3. تفعيل LAPS أو حلول مكافئة: استخدم Local Administrator Password Solution لضمان كلمات مرور فريدة لكل جهاز، مما يُعيق الحركة الأفقية للمهاجم بعد رفع الصلاحيات.
4. مراقبة Event ID 4673 و4674: راقب محاولات الوصول إلى عمليات ذات امتيازات عالية، خاصةً MsMpEng.exe. أي استدعاء مشبوه لهذه العملية من سياق مستخدم عادي يستحق التحقيق الفوري.
5. مراجعة نتائج اختبارات الاختراق الداخلية: إذا كان لديك نتائج PT قديمة تشير إلى وصول داخلي أولي محتمل، فإن CVE-2026-33825 ترفع درجة خطورة تلك النتائج بشكل جوهري وتستوجب إعادة تقييمها.
6. إخطار فرق SOC بمؤشرات الاختراق (IoCs): أضف شيفرة BlueHammer وتوقيعاتها إلى قواعد الكشف في SIEM. أدوات مثل Sigma Rules وYARA يمكن نشرها بسرعة لرصد أنماط الاستغلال.

الخلاصة

CVE-2026-33825 ليست مجرد ثغرة في قائمة Patch Tuesday الشهرية — وجود BlueHammer كاستغلال علني يجعلها أولوية تعديل فعلية لا يمكن تأجيلها. المؤسسات المالية السعودية الخاضعة لرقابة SAMA ومتطلبات NCA تواجه هنا خطراً مزدوجاً: تقنياً بفقدان السيطرة على بيئتها، وتنظيمياً بانتهاك متطلبات إدارة الامتيازات وحماية البيانات. التحديث الفوري والمراقبة الاستباقية ليسا خياراً — بل واجب تنظيمي ومهني.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وللتحقق من مستوى تعرّض بيئتك لثغرات رفع الصلاحيات مثل CVE-2026-33825.