ثغرة Microsoft Exchange CVE-2026-42897: بريد إلكتروني واحد يخترق OWA ويسرق بيانات الاعتماد

أكدت Microsoft في 14 مايو 2026 استغلال ثغرة يوم صفر خطيرة CVE-2026-42897 بدرجة CVSS 8.1 تستهدف خوادم Exchange Server المحلية عبر Outlook Web Access. الثغرة تُستغل بمجرد فتح بريد إلكتروني مُعدّ خصيصاً، مما يتيح تنفيذ كود JavaScript في متصفح الضحية وسرقة بيانات الاعتماد وجلسات العمل. أضافتها CISA إلى قائمة الثغرات المستغلة المعروفة KEV في اليوم التالي مباشرة مع مهلة معالجة حتى 29 مايو.

تفاصيل الثغرة التقنية: XSS عبر انتحال في OWA

تكمن الثغرة في آلية توليد صفحات الويب داخل واجهة Outlook Web Access، حيث يفشل Exchange Server في تعقيم المدخلات بشكل صحيح عند معالجة محتوى البريد الإلكتروني. يستطيع المهاجم تضمين حمولة XSS داخل رسالة بريد عادية المظهر، وعندما يفتحها المستخدم عبر OWA مع توفر شروط تفاعل معينة، يُنفَّذ كود JavaScript تعسفي في سياق متصفح الضحية بنفس صلاحيات جلسته النشطة.

الخطورة الحقيقية تتمثل في أن المهاجم لا يحتاج إلى أي صلاحيات مسبقة على الخادم — يكفيه إرسال بريد إلكتروني واحد. بمجرد تنفيذ الكود، يمكنه سرقة رموز الجلسة (Session Tokens)، الوصول إلى صناديق بريد أخرى، تحميل مرفقات حساسة، أو حتى إرسال رسائل بريد باسم الضحية. هذا يحوّل ثغرة XSS من مجرد خطر تقني إلى باب خلفي كامل لعمليات التصيد الاحتيالي المتقدمة وسرقة المعلومات.

الأنظمة المتأثرة ونطاق الاستغلال

تتأثر إصدارات Exchange Server 2016 و2019 وSubscription Edition المحلية. أما Exchange Online ضمن Microsoft 365 فلا يتأثر بهذه الثغرة. لم تكشف Microsoft حتى الآن عن هوية المهاجمين أو حجم عمليات الاستغلال أو الجهات المستهدفة تحديداً، لكن تأكيدها للاستغلال الفعلي يعني أن جهات تهديد نشطة تستخدم هذه الثغرة حالياً في هجمات حقيقية.

نشرت Microsoft تدابير تخفيف طارئة في 14 مايو كحل مؤقت ريثما يصدر التحديث الأمني الكامل. أما CISA فأضافت الثغرة لقائمة KEV في 15 مايو مع إلزام الجهات الفيدرالية الأمريكية بالمعالجة قبل 29 مايو، مما يعكس مستوى الخطورة العالي الذي تمثله هذه الثغرة على البنية التحتية للبريد الإلكتروني المؤسسي.

لماذا تمثل هذه الثغرة خطراً مضاعفاً على المؤسسات المالية السعودية؟

لا تزال كثير من المؤسسات المالية السعودية — بنوك وشركات تأمين وشركات تمويل — تعتمد على خوادم Exchange المحلية لأسباب تتعلق بسيادة البيانات ومتطلبات SAMA لحفظ البيانات داخل المملكة. هذا يعني أن نسبة كبيرة من البنية التحتية للبريد في القطاع المالي السعودي معرضة مباشرة لهذه الثغرة.

يُلزم إطار SAMA CSCC ضمن نطاق "إدارة الثغرات" (Vulnerability Management) المؤسسات المالية بتطبيق التصحيحات الأمنية الحرجة خلال إطار زمني محدد، وبالأخص للثغرات المستغلة فعلياً. كما يتطلب ضابط NCA ECC رقم 2-3-2 تطبيق نهج استباقي لإدارة الثغرات يشمل المراقبة المستمرة والتصحيح الفوري. عدم الاستجابة السريعة لهذه الثغرة يُعدّ مخالفة تنظيمية صريحة ويعرّض المؤسسة لعقوبات رقابية إضافة إلى الأضرار التقنية.

سيناريو الهجوم المحتمل على بنك سعودي

تخيّل مهاجماً يرسل بريداً إلكترونياً يبدو كإشعار تحويل بنكي عاجل إلى موظف في قسم العمليات يستخدم OWA. بمجرد فتح الرسالة، يُنفَّذ كود JavaScript يسرق رمز الجلسة النشطة. يستخدم المهاجم هذا الرمز للوصول إلى صندوق البريد بالكامل، يقرأ المراسلات الداخلية، يحمّل مرفقات تحتوي على بيانات عملاء أو معلومات تحويلات مالية، ثم يرسل رسائل تصيد احتيالي متقدمة من عنوان البريد الحقيقي للموظف إلى زملائه أو عملاء البنك.

هذا السيناريو ليس نظرياً — بل هو بالضبط ما تتيحه هذه الثغرة. والأسوأ أن الهجوم لن يُكتشف بسهولة لأن الأنشطة تتم من جلسة مصادقة شرعية. هنا تبرز أهمية متطلبات PDPL (نظام حماية البيانات الشخصية) التي تُلزم بالإبلاغ عن خروقات البيانات خلال 72 ساعة — وهو ما قد يُفرض إذا تسربت بيانات عملاء عبر هذا المسار.

التوصيات والخطوات العملية الفورية

1. تطبيق تدابير Microsoft الطارئة فوراً: طبّق الإجراءات المؤقتة التي نشرتها Microsoft في 14 مايو على جميع خوادم Exchange المحلية دون تأخير، واختبرها في بيئة الاختبار أولاً إن أمكن.
2. تقييد الوصول إلى OWA: فعّل المصادقة متعددة العوامل MFA على OWA، وقيّد الوصول عبر VPN أو قوائم IP مسموح بها، وفعّل سياسات الوصول المشروط (Conditional Access) عبر Azure AD إن كان متاحاً.
3. مراجعة سجلات IIS وExchange: افحص سجلات خوادم IIS وExchange بحثاً عن مؤشرات اختراق — تحديداً طلبات HTTP غير عادية على مسارات OWA، جلسات متعددة من عناوين IP مختلفة لنفس المستخدم، أو أنشطة بريد غير معتادة.
4. تفعيل قواعد نقل Exchange لتصفية المحتوى: أنشئ قواعد نقل تحظر أو تعزل الرسائل التي تحتوي على أنماط HTML مشبوهة أو عناصر script، كطبقة حماية إضافية ريثما يصدر التصحيح الكامل.
5. تسريع خطط الانتقال إلى Exchange Online: إذا كنت لا تزال على Exchange المحلي ولا يوجد متطلب تنظيمي يمنع ذلك، فإن هذه الثغرة تُعدّ حجة إضافية قوية لتسريع مشروع الانتقال إلى Exchange Online أو بيئة هجينة مع تعزيز الحماية.
6. إجراء تمرين محاكاة تصيد: استخدم هذه الثغرة كسيناريو واقعي في تمرين توعية أمنية لفريقك — اشرح كيف يمكن لبريد واحد أن يمنح المهاجم وصولاً كاملاً، وعزّز ثقافة الإبلاغ عن الرسائل المشبوهة.

الخلاصة

تُذكّرنا ثغرة CVE-2026-42897 بأن خوادم البريد الإلكتروني المحلية تبقى من أكثر نقاط الدخول استهدافاً من قبل المهاجمين، وأن ثغرة واحدة في Exchange قد تتحول إلى باب خلفي لعمليات تجسس وسرقة بيانات واسعة النطاق. السرعة في تطبيق التدابير التخفيفية ليست خياراً — بل التزام تنظيمي بموجب SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص خوادم Exchange الخاصة بكم ضد أحدث الثغرات المستغلة.