ثغرة Exchange Server الحرجة CVE-2026-42897: بريد إلكتروني واحد يكفي لاختراق مؤسستك عبر OWA

أكدت Microsoft في 14 مايو 2026 استغلالاً نشطاً لثغرة CVE-2026-42897 في خوادم Exchange المحلية، حيث يكفي أن يفتح الموظف بريداً إلكترونياً مُعدّاً خصيصاً عبر واجهة Outlook Web Access لتنفيذ شيفرة JavaScript خبيثة في متصفحه — مما يمنح المهاجم وصولاً كاملاً لجلسة البريد الإلكتروني وبيانات المؤسسة الحساسة.

تفاصيل الثغرة وآلية الاستغلال

تحمل CVE-2026-42897 تصنيف CVSS 8.1 وتُصنَّف كثغرة Spoofing ناتجة عن خلل في معالجة Cross-Site Scripting (XSS) داخل مكون OWA. يرسل المهاجم رسالة بريد إلكتروني تحتوي على حمولة XSS مُضمَّنة في بنية HTML الخاصة بالرسالة. عند فتح المستخدم لهذه الرسالة عبر متصفح OWA وتحقق شروط تفاعل معينة، تُنفَّذ الشيفرة الخبيثة في سياق جلسة المتصفح الحالية.

ما يجعل هذه الثغرة شديدة الخطورة أن الاستغلال لا يتطلب من الضحية سوى فتح البريد — لا حاجة لتحميل مرفقات أو النقر على روابط خارجية. بمجرد تنفيذ الشيفرة، يستطيع المهاجم سرقة رموز الجلسة (Session Tokens)، وقراءة رسائل البريد، وانتحال هوية المستخدم لإرسال رسائل داخلية.

الأنظمة المتأثرة

تتأثر جميع إصدارات Exchange Server المحلية: Exchange Server Subscription Edition RTM، وExchange Server 2019، وExchange Server 2016. في المقابل، أكدت Microsoft أن خدمة Exchange Online غير متأثرة بهذه الثغرة. هذا التمييز مهم للمؤسسات السعودية التي تُبقي خوادم بريدها محلياً لأسباب تنظيمية تتعلق بسيادة البيانات وفق متطلبات PDPL.

الاستغلال النشط وإضافة CISA للثغرة في KEV

أكدت Microsoft رصد استغلال نشط في بيئات حقيقية، مما دفع وكالة CISA الأمريكية في 15 مايو 2026 لإضافة CVE-2026-42897 إلى كتالوج الثغرات المُستغلة (Known Exploited Vulnerabilities)، مع إلزام الوكالات الفيدرالية بتطبيق الإصلاح قبل 29 مايو 2026. مجموعات التهديد المتقدمة التي تستهدف القطاع المالي في الشرق الأوسط — مثل MuddyWater وOilRig — معروفة باستغلال ثغرات Exchange كنقطة دخول أولية للشبكات المصرفية.

التأثير على المؤسسات المالية السعودية

تعتمد كثير من البنوك وشركات التأمين والتقنية المالية السعودية على خوادم Exchange محلية لضمان الامتثال لمتطلبات إقامة البيانات. هذه الثغرة تُشكّل تهديداً مباشراً لعدة متطلبات تنظيمية:

بموجب SAMA CSCC Domain 3 (Technology)، يُلزَم البنك بتحديث الأنظمة الحرجة فور صدور تصحيحات أمنية لثغرات مُستغلة. كما يفرض إطار NCA ECC Subdomain 2-2 (Vulnerability Management) إجراء تقييم فوري للثغرات الحرجة وتطبيق الإجراءات التخفيفية خلال 72 ساعة. أما نظام PDPL فيُحمّل المؤسسة مسؤولية أي تسريب لبيانات شخصية ناتج عن إهمال في تطبيق التحديثات الأمنية المتاحة.

التوصيات والخطوات العملية

1. تطبيق التخفيف الفوري: فعّل خدمة Emergency Mitigation (EM Service) على خوادم Exchange فوراً — هذا أسرع طريق لتقليل سطح الهجوم قبل صدور التصحيح الكامل.
2. مراجعة سجلات OWA: ابحث في سجلات IIS وExchange عن طلبات HTTP مشبوهة تحتوي على أنماط XSS payload، وراقب جلسات OWA النشطة بحثاً عن سلوك غير طبيعي.
3. تقييد الوصول لـ OWA: إذا لم تكن واجهة OWA ضرورية لجميع المستخدمين، قيّد الوصول عبر قوائم IP مسموحة أو اشترط VPN للوصول الخارجي.
4. تفعيل MFA على OWA: حتى في حال سرقة رمز الجلسة، يُصعّب التحقق متعدد العوامل على المهاجم إعادة استخدام بيانات الاعتماد.
5. إخطار فريق الحوكمة: وثّق الثغرة والإجراءات المتخذة في سجل المخاطر وفق متطلبات SAMA CSCC لإدارة الثغرات.
6. التخطيط للتصحيح الكامل: جدوِل نافذة صيانة لتطبيق التحديث الأمني فور إصداره من Microsoft، مع اختبار التوافق في بيئة معزولة أولاً.

الخلاصة

ثغرة CVE-2026-42897 تُذكّرنا أن خوادم البريد الإلكتروني المحلية تبقى هدفاً رئيسياً للمهاجمين، وأن ثغرة واحدة في OWA قد تمنح المهاجم مفاتيح الاتصالات الداخلية بالكامل. المؤسسات المالية السعودية التي تؤجّل تطبيق التخفيف تُعرّض نفسها لمخاطر تنظيمية ومالية جسيمة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص إعدادات Exchange Server لديكم.