ثغرتا Microsoft Defender يوم-صفر CVE-2026-41091 و CVE-2026-45498: CISA تأمر بالتحديث خلال أسبوعين

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرتين في Microsoft Defender إلى قائمة الثغرات المُستغلة فعلياً (KEV)، وأمرت الوكالات الفيدرالية بترقيع أنظمتها قبل 3 يونيو 2026. الثغرتان — CVE-2026-41091 وCVE-2026-45498 — تستهدفان محرك الحماية ومنصة مكافحة البرمجيات الخبيثة في Defender، مما يعني أن كل نقطة نهاية تعمل بنظام Windows في مؤسستك قد تكون عرضة للاستغلال الآن.

CVE-2026-41091: تصعيد صلاحيات إلى SYSTEM بدون تفاعل المستخدم

تحمل هذه الثغرة درجة خطورة CVSS 7.8 وتصيب محرك الحماية من البرمجيات الخبيثة (Malware Protection Engine) في الإصدارات الأقدم من 1.1.26040.8. تكمن المشكلة في ضعف التحقق من الروابط الرمزية (Symlink Resolution) قبل الوصول إلى الملفات، مما يتيح لمهاجم يملك صلاحيات محدودة على الجهاز تصعيد امتيازاته إلى مستوى SYSTEM — أعلى صلاحية في نظام Windows — دون أي تفاعل من المستخدم وبتعقيد هجومي منخفض.

ما يجعل هذه الثغرة خطيرة بشكل استثنائي هو أن محرك الحماية يعمل بصلاحيات SYSTEM بطبيعته، وأي تلاعب في مسارات الملفات التي يعالجها يمنح المهاجم السيطرة الكاملة. سيناريو الاستغلال النموذجي يبدأ باختراق أولي عبر تصيّد احتيالي أو ثغرة في تطبيق ويب، ثم يستخدم المهاجم CVE-2026-41091 للانتقال من حساب مستخدم عادي إلى تحكم كامل بالخادم.

CVE-2026-45498: حرمان من الخدمة يُعطّل خط الدفاع الأول

الثغرة الثانية تصيب منصة مكافحة البرمجيات الخبيثة (Antimalware Platform) في الإصدارات الأقدم من 4.18.26040.7 بدرجة خطورة CVSS 4.0. رغم أن درجتها أقل، إلا أن تأثيرها العملي لا يُستهان به: يمكن للمهاجم إدخال Defender في حالة حرمان من الخدمة (DoS)، مما يُعطّل الفحص والكشف والاستجابة التلقائية.

تعطيل Defender يعني فتح الباب أمام تنفيذ حمولات خبيثة — برمجيات فدية، أدوات تحكم عن بُعد (RATs)، أو سرقة بيانات — دون أن يطلق النظام أي تنبيه. في الهجمات المُركّبة، يستخدم المهاجمون CVE-2026-45498 أولاً لتعطيل الحماية، ثم يستغلون CVE-2026-41091 لتصعيد الصلاحيات، مما يشكّل سلسلة استغلال مزدوجة فعّالة.

التأثير على المؤسسات المالية السعودية

تعتمد غالبية المؤسسات المالية في المملكة العربية السعودية على Microsoft Defender for Endpoint كحل أساسي أو مكمّل لحماية نقاط النهاية. هذا يضع الثغرتين في صميم اهتمام فرق الأمن السيبراني في القطاع المصرفي وشركات التأمين وشركات التقنية المالية.

من منظور الامتثال، يُلزم إطار SAMA CSCC في نطاق "إدارة الثغرات" (Vulnerability Management) المؤسسات المالية بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد، مع توثيق عملية الترقيع والتحقق من فعاليتها. كذلك يتطلب إطار NCA ECC ضمن ضوابط "حماية الأنظمة" تحديث برامج الحماية بشكل مستمر. التأخر في ترقيع ثغرات مُستغلة فعلياً لا يُعرّض المؤسسة لخطر الاختراق فحسب، بل يُشكّل مخالفة تنظيمية صريحة.

التوصيات والخطوات العملية

1. التحقق الفوري من الإصدارات: تأكد أن محرك الحماية (MpEngine) محدّث إلى الإصدار 1.1.26040.8 أو أحدث، وأن منصة مكافحة البرمجيات الخبيثة (AM Platform) محدّثة إلى الإصدار 4.18.26040.7 أو أحدث. استخدم PowerShell: Get-MpComputerStatus | Select AMEngineVersion, AMProductVersion
2. تفعيل التحديث التلقائي: تأكد من أن سياسات WSUS أو Microsoft Intune أو SCCM تسمح بتحديث تعريفات ومحركات Defender تلقائياً دون تأخير.
3. مراجعة سجلات الأحداث: ابحث في سجلات Windows Event Log وMicrosoft Defender عن محاولات تصعيد صلاحيات مشبوهة أو أعطال متكررة في خدمة الحماية (MsMpEng.exe) كمؤشر على محاولة استغلال.
4. تطبيق مبدأ أقل الصلاحيات: حدّ من حسابات المستخدمين المحليين ذوي الصلاحيات الإدارية، فثغرة CVE-2026-41091 تتطلب وصولاً محلياً كنقطة انطلاق.
5. اختبار سيناريو التعطيل: تحقق من أن حلول المراقبة (SIEM/SOC) تكشف حالات توقف Defender عن العمل وتطلق تنبيهات فورية، حتى لا يمر تعطيل الحماية دون ملاحظة.
6. توثيق الامتثال: سجّل عملية الترقيع وتاريخها ونتائج التحقق ضمن سجل إدارة الثغرات المطلوب من SAMA CSCC وNCA ECC.

الخلاصة

ثغرتا Microsoft Defender ليستا مجرد تحديث أمني روتيني — إنهما ثغرتان مُستغلتان فعلياً في هجمات حقيقية، وCISA لم تُصدر أمر الترقيع العاجل إلا لأن التهديد فعلي ومؤكد. المؤسسات المالية السعودية التي تعتمد على Defender كخط دفاع أول يجب أن تتعامل مع هذا التحديث بأولوية قصوى، ليس فقط لحماية بنيتها التحتية، بل للوفاء بمتطلبات SAMA CSCC وNCA ECC في إدارة الثغرات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما في ذلك مراجعة سياسات إدارة الثغرات وسرعة الاستجابة للتحديثات الحرجة.