ثغرة Dynamics 365 الحرجة CVE-2026-42898: تنفيذ كود عن بعد بتقييم 9.9 تهدد أنظمة CRM المالية

كشفت Microsoft ضمن تحديثات Patch Tuesday لشهر مايو 2026 عن ثغرة حرجة في منصة Dynamics 365 المحلية (On-Premises) تحمل المعرّف CVE-2026-42898 بتقييم CVSS 9.9 من أصل 10 — وهو من أعلى التقييمات التي تُمنح لثغرة في منتجات Microsoft. الثغرة تتيح لأي مستخدم مصادق داخل النظام تنفيذ كود خبيث على الخادم المستضيف دون الحاجة لصلاحيات إدارية، مما يجعلها تهديداً مباشراً لكل مؤسسة مالية تعتمد على Dynamics 365 كنظام إدارة علاقات العملاء.

التفاصيل التقنية لثغرة حقن الكود في Dynamics 365

تنتمي CVE-2026-42898 إلى فئة ثغرات حقن الكود (Code Injection)، حيث يستطيع المهاجم التلاعب بالحالة المحفوظة لجلسة عمل (Process Session) داخل Dynamics CRM، ثم تفعيل معالجة تلك البيانات من قبل النظام. عند معالجة البيانات المُعدّلة، ينفّذ الخادم الكود الخبيث المضمّن فيها دون أي تنبيه أو تحقّق إضافي. ما يزيد خطورة هذه الثغرة هو خاصية تغيير النطاق (Scope Change) — وهي سمة نادرة في تصنيف CVSS تعني أن الاستغلال لا يقتصر تأثيره على المكوّن المستهدف مباشرة، بل يمتد إلى مكونات أخرى في البنية التحتية المتصلة بالخادم.

لا تتطلب الثغرة أي تفاعل من المستخدم الضحية، ولا تحتاج إلى صلاحيات مرتفعة — يكفي أن يمتلك المهاجم حساب مستخدم عادي في النظام. تعقيد الهجوم منخفض (Low Attack Complexity)، مما يعني أن استغلالها لا يستلزم أدوات متقدمة أو ظروفاً خاصة. هذا المزيج من العوامل هو ما دفع التقييم إلى 9.9 — أي خطوة واحدة فقط عن الحد الأقصى.

لماذا تُشكّل هذه الثغرة خطراً استثنائياً على المؤسسات المالية؟

تستخدم كثير من البنوك وشركات التأمين وشركات التمويل في المملكة العربية السعودية منصة Microsoft Dynamics 365 كنظام CRM أساسي لإدارة بيانات العملاء والمعاملات والعمليات التجارية. يحتوي هذا النظام عادةً على بيانات شخصية حساسة تشمل الأسماء وأرقام الهوية الوطنية والسجلات المالية وتاريخ المعاملات — وهي بيانات تخضع مباشرة لنظام حماية البيانات الشخصية (PDPL) ومتطلبات SAMA CSCC في مجال حماية بيانات العملاء.

استغلال هذه الثغرة يمنح المهاجم تحكماً كاملاً بخادم Dynamics 365، مما يتيح له سرقة قاعدة بيانات العملاء بالكامل، أو زرع أبواب خلفية للوصول المستمر، أو تشفير البيانات ببرمجيات فدية، أو التحرّك أفقياً داخل الشبكة للوصول إلى أنظمة أخرى كالأنظمة المصرفية الجوهرية (Core Banking). خاصية تغيير النطاق تعني أن اختراق خادم CRM واحد قد يتحول إلى اختراق شامل للبنية التحتية.

الربط بمتطلبات SAMA CSCC و NCA ECC

يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق التحديثات الأمنية الحرجة ضمن إطار زمني محدد، خاصة للثغرات ذات التقييم العالي. القسم 3.3.4 من الإطار يتطلب وجود برنامج إدارة ثغرات فعّال يشمل الفحص الدوري والتحديث المنتظم وتتبع الاستثناءات. كذلك يُلزم إطار NCA ECC في الضابط 2-7-3 بمعالجة الثغرات الحرجة خلال فترات زمنية لا تتجاوز أسبوعين من الكشف عنها.

التأخر في تطبيق التحديث لثغرة بهذا التقييم يُعدّ مخالفة مباشرة لمتطلبات الامتثال، وقد يُعرّض المؤسسة لعقوبات تنظيمية من البنك المركزي السعودي. علاوة على ذلك، فإن أي تسريب لبيانات العملاء الناتج عن استغلال ثغرة معروفة ومُصحّحة يضع المؤسسة في موقف قانوني صعب أمام نظام PDPL الذي يُلزم بتطبيق تدابير حماية تقنية مناسبة.

التوصيات والخطوات العملية

1. تطبيق التحديث فوراً: حمّل وطبّق التحديث الأمني الصادر من Microsoft لـ Dynamics 365 On-Premises دون تأخير. اختبر التحديث في بيئة معزولة أولاً، ثم انشره على بيئة الإنتاج خلال 72 ساعة كحد أقصى نظراً لخطورة التقييم.
2. مراجعة سجلات الوصول: افحص سجلات Dynamics 365 للبحث عن أي نشاط غير طبيعي في تعديل جلسات العمل (Process Sessions) خلال الأسابيع الماضية. ركّز على العمليات التي قام بها مستخدمون بصلاحيات عادية لتعديل بيانات الجلسات.
3. تقييد صلاحيات المستخدمين: طبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) على جميع حسابات Dynamics 365. راجع الأدوار المسندة وأزل أي صلاحيات غير ضرورية، خاصة تلك المتعلقة بتعديل إعدادات النظام والجلسات.
4. عزل خوادم CRM: تأكد من أن خوادم Dynamics 365 معزولة في شريحة شبكية مستقلة (Network Segmentation) مع قواعد جدار ناري صارمة تحدّ من الاتصالات الصادرة والواردة غير الضرورية.
5. تفعيل مراقبة EDR متقدمة: فعّل قواعد كشف متخصصة على حلول EDR/XDR لمراقبة أي عمليات تنفيذ كود غير معتادة على خوادم Dynamics 365، بما في ذلك عمليات PowerShell وcmd.exe المشبوهة.
6. تحديث تقييم المخاطر: أضف هذه الثغرة إلى سجل المخاطر السيبرانية وحدّث تقييم المخاطر لنظام CRM ضمن إطار إدارة المخاطر المؤسسية.

الخلاصة

تُمثّل CVE-2026-42898 واحدة من أخطر الثغرات التي تطال أنظمة CRM المؤسسية هذا العام. تقييم 9.9 مع إمكانية الاستغلال من مستخدم عادي وتغيير النطاق يجعلها أولوية قصوى للمعالجة. المؤسسات المالية السعودية التي تستخدم Dynamics 365 On-Premises مطالبة بالتحرك الفوري — ليس فقط لحماية بيانات عملائها، بل للحفاظ على امتثالها لمتطلبات SAMA CSCC و NCA ECC و PDPL.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة إدارة الثغرات في أنظمتك الحرجة.