CVE-2026-33826: ثغرة Active Directory تمنح صلاحيات كاملة على الدومين وتهدد بنية الهوية في البنوك السعودية

في تحديث أبريل 2026 الذي أغلقت فيه Microsoft 167 ثغرة دفعة واحدة، مرّت ثغرة تستحق وقفة خاصة من كل CISO ومسؤول هوية في القطاع المالي السعودي. CVE-2026-33826 ليست ثغرة طرفية في تطبيق جانبي، بل خلل في Active Directory نفسه — العمود الفقري لهوية المستخدمين والخوادم والتطبيقات داخل كل بنك ومؤسسة مالية خاضعة لرقابة البنك المركزي السعودي.

تشريح الثغرة: مكالمة RPC واحدة تكفي

تُصنَّف CVE-2026-33826 كثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) بدرجة CVSS 8.0، وسببها الجذري هو تحقّق غير سليم من المدخلات (CWE-20) داخل مكوّن Active Directory. يستغل المهاجم الخلل عبر إرسال مكالمة إجراء بعيد (RPC) مُصاغة خصيصاً إلى مضيف RPC عرضة للثغرة. المتطلبات بسيطة بشكل مقلق: حساب مُصادَق عليه داخل النطاق بصلاحيات منخفضة، ومسار شبكي مجاور للخادم الهدف.

الخطورة تكمن في أن نجاح الاستغلال يمنح المهاجم صلاحيات مكافئة لمضيف خدمة RPC — وهو في كثير من الأحيان وحدة تحكّم الدومين نفسها. بمعنى آخر: اختراق عادي لجهاز عميل واحد داخل الشبكة قد يتحوّل خلال دقائق إلى سيطرة كاملة على كل مستخدم وجهاز وتطبيق داخل النطاق.

لماذا تختلف هذه الثغرة عن ثغرات Patch Tuesday الأخرى

كل أصدقاء مسؤولي الأمن يعرفون أن ثغرات Active Directory تقع في فئة خاصة. فالدومين ليس مجرد خدمة، بل هو مصدر الثقة (Trust Anchor) الذي تعتمد عليه كل المنظومة: DNS، Kerberos، GPO، SSO للتطبيقات البنكية الأساسية، وحتى منصات EDR وSIEM. عند سقوط الدومين، تسقط كل الضوابط التعويضية المبنية عليه.

Microsoft صنّفت الثغرة بأن "الاستغلال مُرجَّح" (Exploitation More Likely)، وأن كل إصدارات Windows Server من 2012 R2 حتى 2025 معرضة. ورغم أن إثبات المفهوم العام لم يُنشر بعد، فإن تاريخ ثغرات RPC في AD — مثل Zerologon وPetitPotam — يُنذر بأن العد التنازلي قد بدأ فعلياً.

التأثير على المؤسسات المالية السعودية

ضوابط SAMA للأمن السيبراني (CSCC) في النطاق الثالث المتعلق بإدارة الهوية والوصول (Identity and Access Management) تُلزم البنوك بحماية خدمات الدليل وتقييد الوصول الإداري إلى وحدات التحكم. أما النطاق الرابع (إدارة الثغرات) فيفرض إغلاق أي ثغرة بدرجة CVSS تتجاوز 7.0 خلال نوافذ زمنية ضيقة، مع توثيق ضوابط تعويضية إذا تعذّر التصحيح الفوري.

تأثير إضافي لا يُغفَل: إطار NCA ECC في ضابط 2-2-3 يطلب عزل حسابات الإدارة المُمَيَّزة (Privileged Access Management)، وثغرة من هذا النوع تقفز فوق هذه الضوابط لأنها تسمح برفع صلاحيات مباشرة داخل الدليل. كذلك، أي تسرّب لبيانات العملاء نتيجة اختراق الدومين يضع المؤسسة أمام غرامات نظام حماية البيانات الشخصية (PDPL) التي قد تصل إلى 5 ملايين ريال لكل مخالفة.

التوصيات والخطوات العملية

1. طبّق تحديث أبريل 2026 (14 أبريل) على كل وحدات التحكّم في الدومين (DCs) خلال 72 ساعة كحد أقصى، بدءاً بالبيئة الإنتاجية الرئيسية ثم DR، مع جدولة نافذة تغيير طارئة عبر لجنة CAB.
2. راقب سجلّات Event ID 4662 و4776 و5145 بحثاً عن مكالمات RPC غير اعتيادية إلى واجهات DRSUAPI وNetLogon، واربطها بقواعد ارتباط في SIEM لتنبيه SOC فوراً.
3. قلّص سطح الهجوم بتفعيل SMB Signing وLDAP Signing وإلزام تشفير RPC (Enforce RPC Encryption) عبر GPO، مع تقييد حركة RPC الداخلية بين شرائح الشبكة باستخدام IPsec أو microsegmentation.
4. فعّل Tier 0 Isolation بحيث لا تُستخدم حسابات Domain Admin على محطات العمل أو الخوادم الأقل تصنيفاً، واعتمد Privileged Access Workstations (PAWs) لكل عمليات إدارة الدومين.
5. أجرِ مراجعة عاجلة لعدد الحسابات ذات الصلاحيات المنخفضة داخل الدومين؛ كل حساب مُصادَق عليه هو نقطة انطلاق محتملة لهذه الثغرة، وتنظيف الحسابات الخاملة (Stale Accounts) ليس ترفاً تنظيمياً بل ضرورة دفاعية.
6. نفّذ تمرين Purple Team يحاكي استغلال الثغرة للتحقق من قدرة منظومة EDR وفريق SOC على اكتشاف حركات RPC المشبوهة قبل وصولها إلى DC.

الخلاصة

CVE-2026-33826 ليست حدثاً تصحيحياً روتينياً؛ إنها اختبار لجاهزية منظومة الهوية في مؤسستك. المؤسسات المالية التي ستتعامل معها كأي CVE عادي تخاطر بأن تجد نفسها أمام سيناريو اختراق ذروة (Peak Breach) يُعيد تعريف بيئتها بالكامل. أما التي ستعتمدها مناسبة لمراجعة Tier Model وضوابط PAM فستخرج منها بهيكل هوية أكثر صلابة أمام موجة ثغرات Active Directory القادمة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة معمارية Active Directory لديك.