تحديث Patch Tuesday مايو 2026: ثغرة Netlogon تمنح المهاجمين تنفيذ كود على وحدات تحكم Active Directory

أصدرت Microsoft تحديثها الشهري لشهر مايو 2026 معالجةً 120 ثغرة أمنية، بينها 17 مصنّفة حرجة — أبرزها CVE-2026-41089 في بروتوكول Netlogon بتقييم CVSS 9.8 التي تتيح لمهاجم غير مُصادق تنفيذ كود عن بُعد على وحدات تحكم المجال (Domain Controllers) مباشرة، إضافة إلى أربع ثغرات RCE في Microsoft Word قابلة للاستغلال عبر جزء المعاينة دون فتح الملف.

ثغرة Netlogon الحرجة CVE-2026-41089: الخطر الأعلى هذا الشهر

تكمن خطورة CVE-2026-41089 في أنها تستهدف بروتوكول Netlogon المسؤول عن مصادقة الأجهزة والمستخدمين في بيئات Active Directory. يستطيع المهاجم إرسال طلبات مصادقة مُعدّة خصيصاً دون الحاجة لأي بيانات اعتماد، مما يؤدي إلى تنفيذ كود تعسفي بصلاحيات SYSTEM على وحدة التحكم. هذا يعني السيطرة الكاملة على البنية التحتية لـ Active Directory بما فيها جميع حسابات المستخدمين وسياسات المجموعات وشهادات PKI.

تُذكّرنا هذه الثغرة بسابقتها Zerologon (CVE-2020-1472) التي استُغلت على نطاق واسع في 2020-2021، لكن CVE-2026-41089 تتجاوزها في الخطورة لأنها لا تتطلب حتى وصولاً شبكياً مباشراً لوحدة التحكم — يكفي الوصول لأي جهاز ضمن نطاق الشبكة الداخلية.

أربع ثغرات Word RCE عبر جزء المعاينة: الخطر الصامت

كشف التحديث عن أربع ثغرات تنفيذ كود عن بُعد في Microsoft Word بتقييم CVSS 8.4، وجميعها قابلة للاستغلال عبر Preview Pane في Outlook وFile Explorer. هذا يعني أن مجرد تمرير مؤشر الماوس فوق مرفق .docx خبيث في البريد الإلكتروني كافٍ لتنفيذ الكود دون أي نقرة من المستخدم.

يُمثّل هذا السيناريو كابوساً لفرق الأمن في المؤسسات المالية حيث يتبادل الموظفون عشرات المستندات يومياً. المهاجمون يستطيعون تضمين payload في ملف Word يبدو طبيعياً تماماً، ويُنفَّذ الكود بمجرد عرض المعاينة في Outlook.

أبرز الثغرات الحرجة الأخرى في التحديث

يشمل التحديث أيضاً ثغرات حرجة في مكونات أساسية تستخدمها المؤسسات المالية السعودية بشكل مكثف: ثغرات في Azure Services تُتيح تصعيد الصلاحيات، وثغرات في SQL Server تسمح بتنفيذ كود عن بُعد، وإصلاحات لـ Windows Hyper-V وRemote Desktop Services. المميز في هذا التحديث أنه أول Patch Tuesday منذ يونيو 2024 لا يحتوي على ثغرات Zero-Day مُستغلة فعلياً، مما يمنح الفرق الأمنية نافذة ترقيع دون ضغط الاستغلال النشط.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA

يُلزم إطار SAMA CSCC في الضابط 3.3.4 المؤسسات المالية بتطبيق التحديثات الأمنية الحرجة خلال 72 ساعة من صدورها، وهو ما يجعل معالجة CVE-2026-41089 أولوية قصوى لكل بنك وشركة تأمين وشركة تمويل في المملكة. أما إطار NCA ECC فيُشدد في ضابط إدارة الثغرات على وجوب تصنيف الثغرات حسب الخطورة وتطبيق الإصلاحات وفق SLA محددة.

المؤسسات التي تعتمد Active Directory — وهي الأغلبية الساحقة — تواجه خطراً وجودياً إذا لم تُرقّع وحدات التحكم فوراً. اختراق Domain Controller واحد يعني الوصول لكل الأنظمة المرتبطة بما فيها أنظمة Core Banking وقواعد بيانات العملاء وأنظمة SWIFT.

التوصيات والخطوات العملية

1. ترقيع فوري لوحدات تحكم المجال: طبّق تحديث CVE-2026-41089 على جميع Domain Controllers خلال 24 ساعة كحد أقصى، مع اختبار التوافق في بيئة staging أولاً لتجنب انقطاع الخدمات.
2. تعطيل Preview Pane مؤقتاً: على مستوى Group Policy، عطّل جزء المعاينة في Outlook وFile Explorer حتى اكتمال ترقيع ثغرات Word الأربع على جميع محطات العمل.
3. مراجعة Netlogon Traffic: فعّل تسجيل أحداث Netlogon المتقدمة (Event IDs 5827-5831) وراقب أي محاولات مصادقة غير طبيعية من عناوين IP غير معروفة.
4. تجزئة الشبكة: تأكد من عزل وحدات تحكم المجال في VLAN مخصص مع قوائم تحكم وصول صارمة تمنع الوصول المباشر من محطات عمل المستخدمين.
5. تفعيل قواعد EDR مخصصة: أنشئ قواعد كشف في حلول EDR لرصد أي عملية غير اعتيادية تُنشأ من winword.exe أو outlook.exe خارج نطاق العمليات المعتادة.
6. اختبار خطة الاستجابة: نفّذ تمرين tabletop يُحاكي سيناريو اختراق Domain Controller عبر CVE-2026-41089 لضمان جاهزية فريق الاستجابة للحوادث.

الخلاصة

رغم خلو تحديث مايو 2026 من ثغرات Zero-Day مُستغلة، فإن CVE-2026-41089 في Netlogon تُمثّل تهديداً استراتيجياً لأي مؤسسة تعتمد Active Directory. الفرصة سانحة للترقيع قبل أن تظهر أدوات استغلال عامة — وتاريخ Zerologon يُعلّمنا أن الفارق بين الإفصاح والاستغلال الواسع قد لا يتجاوز أسبوعين. المؤسسات المالية السعودية الملتزمة بإطار SAMA CSCC يجب أن تتعامل مع هذا التحديث كأولوية P1 لا تقبل التأجيل.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد الفجوات في إدارة الثغرات والترقيع.