ثلاث ثغرات صفرية في Microsoft Defender: BlueHammer و RedSun و UnDefend تحوّل خط الدفاع الأول إلى ممر اختراق

في أبريل 2026، كشف باحث أمني عن ثلاث ثغرات صفرية تستهدف Microsoft Defender — محرك الحماية الذي تعتمد عليه أغلب المؤسسات المالية السعودية كخط دفاع أول. الثغرات الثلاث — BlueHammer وRedSun وUnDefend — تشكّل سلسلة هجوم متكاملة تبدأ بتصعيد الصلاحيات إلى مستوى SYSTEM وتنتهي بتعطيل محرك الحماية ذاته بصمت تام. CISA أضافت الثغرة الأولى إلى كتالوج الثغرات المُستغلّة فعلياً (KEV)، بينما لا تزال الثغرتان الأخريان بلا ترقيع حتى اليوم.

BlueHammer CVE-2026-33825: سباق توقيت يمنح صلاحيات SYSTEM

الثغرة الأولى والأكثر توثيقاً هي BlueHammer، المُسجّلة تحت CVE-2026-33825. تكمن المشكلة في حالة سباق من نوع TOCTOU (Time-of-Check to Time-of-Use) داخل محرك معالجة التهديدات في Defender. عندما يكتشف Defender ملفاً ضاراً ويبدأ عملية الحذف أو العزل، يقوم بعمليات ملفات بصلاحيات SYSTEM دون التحقق الكافي من مسار الملف لحظة الكتابة الفعلية.

يستغل المهاجم هذا السلوك بوضع ملف يُطلق تنبيه Defender، ثم يستخدم قفل ملفات دفعي (Batch Oplock) لإيقاف عملية Defender مؤقتاً عند نقطة حرجة. خلال فترة التوقف، ينشئ المهاجم نقطة وصل NTFS Junction تعيد توجيه مسار Defender من المجلد المؤقت إلى C:\Windows\System32. عندما يستأنف Defender العملية، يكتب الملف بصلاحيات SYSTEM في مجلد النظام، مما يسمح بالكتابة فوق ملف نظام تنفيذي والحصول على تنفيذ كود بصلاحيات كاملة.

أصدرت Microsoft ترقيعاً لهذه الثغرة ضمن تحديث منصة Defender في 14 أبريل 2026، وأضافتها CISA إلى كتالوج KEV مع موعد نهائي للترقيع في 7 مايو 2026 للوكالات الفيدرالية الأمريكية.

RedSun: تصعيد صلاحيات عبر آلية السحابة — بلا ترقيع

الثغرة الثانية RedSun تستغل مساراً مختلفاً تماماً للوصول إلى صلاحيات SYSTEM. تعتمد على إساءة استخدام آلية معالجة الملفات المُعلَّمة سحابياً (Cloud-Tagged Files) في Defender. عندما يتعامل Defender مع ملف يحمل وسماً سحابياً يتطلب عملية استرجاع (Rollback)، يقوم بعمليات كتابة بصلاحيات مرتفعة يمكن إعادة توجيهها لاستبدال ملفات نظام حساسة.

ما يجعل RedSun أخطر من BlueHammer هو أنها تستخدم مسار كود مختلف تماماً داخل Defender، مما يعني أن ترقيع BlueHammer لا يحمي منها. كما أن إثبات المفهوم (PoC) متاح علنياً منذ 16 أبريل 2026، وقد رُصد استغلالها في هجمات حقيقية. حتى تاريخ كتابة هذا المقال، لم تُصدر Microsoft أي ترقيع لهذه الثغرة.

UnDefend: تعطيل صامت لتحديثات الحماية

الثغرة الثالثة UnDefend لا تمنح صلاحيات مرتفعة بحد ذاتها، لكنها تكمل سلسلة الهجوم بشكل مدمّر. تستهدف خط أنابيب تحديث التواقيع في Defender، فتمنع وصول تحديثات قاعدة بيانات التهديدات الجديدة بصمت تام دون إطلاق أي تنبيه واضح. النتيجة: يبدو Defender وكأنه يعمل بشكل طبيعي على لوحة التحكم، بينما في الواقع توقف عن تلقّي تعريفات التهديدات الحديثة.

يشكّل هذا تهديداً استراتيجياً لفرق مركز العمليات الأمنية (SOC)، لأن مؤشرات الصحة المعتادة لن تكشف المشكلة. المهاجم الذي يحصل على صلاحيات SYSTEM عبر BlueHammer أو RedSun يمكنه نشر UnDefend لإضعاف الحماية تدريجياً، ثم تنزيل أدوات إضافية أو برمجيات فدية دون أن يكتشفها Defender.

سلسلة الهجوم المتكاملة: استراتيجية الإضعاف المتدرّج

ما يميّز هذه الثغرات الثلاث هو أنها تشكّل ما وصفه الباحثون بـ "استراتيجية الإضعاف المتدرّج" (Layered Degradation Strategy). يبدأ المهاجم بالوصول الأولي — ربما عبر تصيّد أو ثغرة في تطبيق ويب — ثم يستخدم BlueHammer أو RedSun لتصعيد صلاحياته إلى SYSTEM على الجهاز المُخترق. بعد ذلك ينشر UnDefend لتعطيل تحديثات Defender تدريجياً على الأجهزة المُخترقة. وأخيراً، مع ضعف الحماية، ينتقل أفقياً في الشبكة وينشر حمولته النهائية — سواء كانت سرقة بيانات أو تشفير فدية.

رُصدت هذه السلسلة في هجمات حقيقية ابتداءً من 10 أبريل 2026 مع BlueHammer، تلاها استخدام RedSun وUnDefend بدءاً من 16 أبريل. التقارير الميدانية تشير إلى استهداف مؤسسات في قطاعات مالية وحكومية متعددة.

التأثير على المؤسسات المالية السعودية

تعتمد شريحة واسعة من المؤسسات المالية في المملكة العربية السعودية على Microsoft Defender كحل أساسي أو تكميلي لحماية نقاط النهاية. إطار SAMA CSCC يشترط في النطاق 3.3 (Endpoint Protection) وجود حماية فعّالة ومحدّثة لكل نقطة نهاية، بينما يتطلب إطار NCA ECC في الضابط 2-6 ضمان تحديث أدوات الحماية بشكل مستمر. ثغرة UnDefend تحديداً تقوّض هذا المتطلب لأنها تمنع التحديثات دون أن تُظهر أي خلل ظاهري.

كذلك يتطلب نظام حماية البيانات الشخصية PDPL حماية البيانات بتدابير تقنية مناسبة. مؤسسة يُخترق فيها Defender ويُعطَّل تحديثه دون علمها قد تواجه مسؤولية تنظيمية في حال تسرّب بيانات عملاء، خاصة إذا ثبت أن الترقيعات المتاحة لم تُطبَّق في الوقت المناسب.

التوصيات والخطوات العملية

1. ترقيع BlueHammer فوراً: تحقق من أن تحديث منصة Microsoft Defender Antimalware Platform الصادر في 14 أبريل 2026 مُطبَّق على جميع الأجهزة. استخدم أمر Get-MpComputerStatus في PowerShell للتحقق من إصدار المنصة.
2. مراقبة تحديثات التواقيع يومياً: لا تعتمد على لوحة تحكم Defender وحدها. أنشئ تنبيهاً في SIEM يُطلَق إذا تجاوز عمر تواقيع أي جهاز 24 ساعة، للكشف عن نشاط UnDefend المحتمل.
3. تطبيق مبدأ الدفاع المتعدد الطبقات: لا تعتمد على Defender كخط حماية وحيد. أضف حل EDR منفصل قادر على كشف تصعيد الصلاحيات وعمليات NTFS Junction المشبوهة بشكل مستقل عن Defender.
4. تقييد عمليات الملفات في مجلدات Temp: طبّق سياسات AppLocker أو WDAC لتقييد تنفيذ الملفات من مجلدات مؤقتة يستخدمها المهاجم في سلسلة BlueHammer.
5. مراجعة سجلات NTFS Junction: فعّل تدقيق عمليات نظام الملفات عبر سياسة التدقيق المتقدمة (Advanced Audit Policy) وراقب إنشاء نقاط الوصل غير المعتادة التي تشير إلى مجلدات نظام حساسة.
6. تفعيل حماية Tamper Protection: تأكد من تفعيل خاصية Tamper Protection في Defender عبر Microsoft Intune أو Group Policy لتقليل فرص التلاعب بإعدادات الحماية.

الخلاصة

ثغرات BlueHammer وRedSun وUnDefend تمثّل نقلة نوعية في استهداف أدوات الحماية ذاتها. عندما يتحوّل خط الدفاع الأول إلى نقطة ضعف، تصبح كل الطبقات الأخرى مكشوفة. المؤسسات المالية السعودية التي تعتمد على Microsoft Defender — سواء كحل أساسي أو تكميلي — تحتاج إلى مراجعة عاجلة لوضعها الأمني، وترقيع ما يمكن ترقيعه، وتطبيق إجراءات تعويضية للثغرتين اللتين لا تزالان بلا ترقيع.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لحماية نقاط النهاية لديك.