ثغرة Exchange Server صفرية CVE-2026-42897: بريد إلكتروني واحد يخترق صندوق بريدك بدون ترقيع متاح

أعلنت Microsoft في 14 مايو 2026 عن استغلال نشط لثغرة صفرية في Exchange Server تحمل الرقم CVE-2026-42897، تتيح للمهاجم تنفيذ شيفرة JavaScript خبيثة داخل جلسة Outlook Web Access للضحية عبر إرسال بريد إلكتروني مُصمَّم بعناية — بدون أي ترقيع رسمي حتى الآن. أضافت CISA الثغرة فوراً إلى كتالوج الثغرات المُستغلة KEV، مما يعني أن المؤسسات المالية السعودية التي تعتمد على Exchange محلي تواجه خطراً مباشراً.

تفاصيل الثغرة التقنية: XSS مُسلّح عبر OWA

صُنّفت CVE-2026-42897 كثغرة Cross-Site Scripting (XSS) من نوع Spoofing تؤثر على Exchange Server 2016 و2019 والإصدار الاشتراكي (Subscription Edition). منحتها Microsoft درجة CVSS 8.1 (عالية الخطورة)، بينما قدّرها NIST بدرجة 6.1 متوسطة. يكمن الخلل في عدم التعقيم الصحيح للمدخلات أثناء توليد صفحات الويب (Improper Neutralization of Input During Web Page Generation)، وهو نمط هجومي كلاسيكي لكنه هنا يستهدف واجهة OWA مباشرة — البوابة التي يستخدمها آلاف الموظفين يومياً في المؤسسات المالية السعودية للوصول إلى بريدهم المؤسسي.

آلية الاستغلال: من بريد إلكتروني إلى اختراق كامل

يبدأ الهجوم بإرسال بريد إلكتروني يحتوي على حمولة XSS مُضمّنة. عندما يفتح المستخدم الرسالة عبر Outlook Web Access ويتفاعل مع محتوى معيّن فيها، تُنفَّذ شيفرة JavaScript تعسفية داخل سياق متصفح الضحية. النتيجة ليست مجرد قراءة البريد — بل يحصل المهاجم على رموز الجلسة (Session Tokens) التي تمنحه وصولاً كاملاً إلى صندوق بريد الضحية، مع القدرة على تعديل إعدادات الصندوق وتغيير محتوى الرسائل.

الأخطر من ذلك أن رموز الجلسة المسروقة يمكن استخدامها للتنقل الجانبي (Lateral Movement) نحو خدمات Microsoft 365 الأخرى المرتبطة بنفس الهوية: SharePoint وTeams والتخزين السحابي. هذا يحوّل ثغرة XSS واحدة إلى نقطة دخول لاختراق بيئة العمل بأكملها.

التوقيت الحرج: ظهور بعد يومين من Patch Tuesday

ظهرت الثغرة بعد يومين فقط من تحديثات Patch Tuesday لشهر مايو 2026 التي عالجت 138 ثغرة أخرى، مما يعني أن المؤسسات التي طبّقت التحديثات الشهرية ظنّت أنها آمنة بينما كانت Exchange Server لديها مكشوفة أمام استغلال نشط. حتى لحظة كتابة هذا المقال، لم تُصدر Microsoft ترقيعاً رسمياً، واكتفت بتفعيل خدمة Exchange Emergency Mitigation Service (EEMS) التي تُطبّق تخفيفات تلقائية مؤقتة — لكنها ليست بديلاً عن الترقيع الكامل.

التأثير على المؤسسات المالية السعودية وامتثال SAMA CSCC

لا تزال كثير من البنوك وشركات التأمين وشركات التمويل السعودية تشغّل Exchange Server محلياً لأسباب تنظيمية تتعلق بسيادة البيانات ومتطلبات SAMA لحفظ المراسلات. هذا يجعلها عرضة مباشرة لهذه الثغرة. وفقاً لإطار SAMA Cyber Security Common Controls (CSCC)، يُلزم ضابط إدارة الثغرات (Vulnerability Management) المؤسسات بتطبيق الترقيعات الحرجة خلال فترة زمنية محددة — لكن ماذا يحدث عندما لا يوجد ترقيع أصلاً؟

كذلك يتطلب إطار NCA ECC ضوابط صارمة لأمن البريد الإلكتروني (Email Security Controls) وإدارة الجلسات (Session Management). ثغرة تسرق رموز الجلسة وتمنح وصولاً غير مصرح به تمثل انتهاكاً مباشراً لعدة ضوابط في كلا الإطارين. أما على صعيد PDPL، فإن اختراق صناديق البريد التي تحتوي بيانات عملاء شخصية يُشكّل حادثة تسريب بيانات تستوجب الإبلاغ الفوري لهيئة البيانات.

التوصيات والخطوات العملية الفورية

1. تأكد من تفعيل EEMS: تحقق أن خدمة Exchange Emergency Mitigation Service مُفعّلة وتعمل على جميع خوادم Exchange لديك، فهي تُطبّق التخفيفات المؤقتة تلقائياً حتى صدور الترقيع الرسمي.
2. راجع سجلات OWA فوراً: ابحث في سجلات IIS وExchange عن طلبات HTTP مشبوهة تحتوي على أنماط XSS أو محاولات حقن JavaScript، وركّز على الفترة من 12 مايو حتى الآن.
3. قيّد الوصول إلى OWA: إذا لم يكن ضرورياً، عطّل الوصول الخارجي إلى Outlook Web Access مؤقتاً، أو حصره عبر VPN مع مصادقة متعددة العوامل (MFA).
4. فعّل Conditional Access Policies: اربط الوصول إلى Exchange Online وOWA بسياسات وصول مشروط تتضمن التحقق من صحة الجهاز والموقع الجغرافي.
5. راقب سرقة رموز الجلسة: فعّل تنبيهات في SIEM لرصد استخدام رموز جلسة من عناوين IP مختلفة أو أجهزة غير معروفة، وهو مؤشر واضح على Token Hijacking.
6. وعّي المستخدمين: أبلغ فريقك بعدم فتح رسائل بريد مشبوهة عبر OWA حتى صدور الترقيع، مع تفعيل الإبلاغ الفوري عن الرسائل المريبة.
7. خطط للهجرة السحابية: هذه الثغرة تُضاف إلى قائمة طويلة من مخاطر Exchange المحلي — ابدأ بتقييم جدوى الانتقال إلى Exchange Online مع الحفاظ على متطلبات سيادة البيانات عبر Microsoft Cloud for Sovereignty.

الخلاصة

CVE-2026-42897 تُذكّرنا بأن Exchange Server المحلي لا يزال هدفاً مفضلاً للمهاجمين، وأن ثغرة XSS في OWA ليست مجرد خطر نظري بل مسار مُثبت لاختراق الهوية والتنقل عبر بيئة Microsoft 365 بأكملها. غياب الترقيع الرسمي يزيد الضغط على فرق الأمن السيبراني في القطاع المالي السعودي لتطبيق التخفيفات البديلة فوراً ومراقبة مؤشرات الاختراق بشكل مستمر.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص بيئة Exchange الخاصة بك ضد الثغرات الصفرية النشطة.