ثغرة Microsoft Teams CVE-2026-33823: تسريب معلومات حرج يهدد بنوك SAMA

في 7 مايو 2026، أعلنت Microsoft عن ثغرة حرجة جديدة في Microsoft Teams تحمل المعرّف CVE-2026-33823 بدرجة خطورة CVSS 9.6 من 10. الثغرة من نوع "تخويل غير سليم" (CWE-285) وتتيح لمهاجم مصادَق تجاوز ضوابط التحكم بالوصول وكشف معلومات محظورة عبر الشبكة — وهو ما يضع بنوك ومؤسسات SAMA المالية أمام تهديد جدّي يستوجب تحركاً فورياً.

التفاصيل التقنية لثغرة CVE-2026-33823 في Microsoft Teams

تنشأ الثغرة من خلل في تطبيق سياسات الترخيص داخل خدمات Teams الخلفية، حيث يفشل النظام في التحقق الصحيح من صلاحيات المستخدم على موارد محددة بعد إتمام عملية المصادقة. ولا يحتاج المهاجم لاختراق حسابات تنفيذية أو امتلاك صلاحيات مسؤول، بل يكفي أن يكون لديه حساب موظف عادي صالح داخل المؤسسة (Insider أو حساب مخترَق عبر التصيّد). مستوى التعقيد منخفض ولا يتطلب تفاعلاً من الضحية، وهو ما رفع درجة CVSS إلى 9.6 ومنحها تصنيف "حرج".

وفق نشرة Microsoft Security Response Center، تم حل الثغرة من جانب الخدمة السحابية ولا تتطلب إجراء من العميل، إلا أن هذا لا يعفي فرق الأمن من واجب التحقق من السجلات بأثر رجعي والبحث عن مؤشرات استغلال محتملة قبل الترقيع.

سيناريو الاستغلال داخل بنك سعودي

تخيّل موظفاً في فرع طرف خارجي (مزوّد خدمة محاسبة مثلاً) يملك حساب Teams ضيف داخل مستأجر البنك بصلاحيات محدودة جداً. عبر استغلال CVE-2026-33823، يتمكن هذا الحساب من قراءة محتوى محادثات قنوات خاصة بإدارة المخاطر، أو ملفات مشتركة في فرق الامتثال، أو حتى مرفقات اجتماعات لجنة الائتمان — كلها بيانات يفترض أن تكون محظورة بالكامل عن هذا المستخدم. النتيجة: تسرّب معلومات تشغيلية حساسة وبيانات عملاء قد تشمل تفاصيل تسهيلات ائتمانية أو خطط أمنية داخلية.

الأخطر أن هذا النمط من الاستغلال صعب الاكتشاف بأدوات SIEM التقليدية لأنه يستخدم استدعاءات API مشروعة من حساب موثوق، ولا يترك آثاراً واضحة كتلك التي تتركها هجمات تنفيذ الكود أو رفع الصلاحيات.

التأثير على المؤسسات المالية السعودية

تستخدم غالبية البنوك الخاضعة لرقابة SAMA منصة Microsoft Teams كأداة تعاون أساسية، خاصة بعد التوسع في الأنماط الهجينة للعمل. هذا التوسع جعل Teams مستودعاً غير معلن للبيانات الحساسة: قرارات لجان، مذكرات قانونية، تقارير حوادث أمنية، ومستندات امتثال. ويتقاطع هذا الواقع مع عدة متطلبات تنظيمية:

على صعيد SAMA Cyber Security Framework (CSCC)، يتعارض الاستغلال المحتمل مع البند 3.3.5 الخاص بإدارة الهويات والتحكم في الوصول، والبند 3.3.14 المتعلق بحماية البيانات وتصنيفها. وعلى صعيد NCA ECC فإن الضابط 2-2-3 يفرض الفصل المنطقي للوصول إلى الأصول المعلوماتية. أما نظام حماية البيانات الشخصية PDPL فيعتبر أي كشف غير مصرح به لبيانات شخصية حادثة إخلال يستوجب الإبلاغ خلال 72 ساعة لهيئة البيانات SDAIA — وقد يصل التعويض المالي إلى ما لا يقل عن خمسة ملايين ريال إذا ثبت الإهمال.

إضافة إلى ذلك، فإن حملة MuddyWater الإيرانية الأخيرة التي رصدها فريق Securonix استخدمت Microsoft Teams تحديداً كقناة هندسة اجتماعية لاستهداف بنوك المنطقة. اقتران هذه الحملة مع ثغرة تخويل في الخدمة نفسها يضاعف سطح الهجوم بشكل لافت.

التوصيات والخطوات العملية لفرق الأمن

توصي فنترالينك المؤسسات المالية السعودية بتنفيذ الخطوات التالية على وجه السرعة:

1. تأكيد تطبيق التحديث: على الرغم من أن Microsoft عالجت الثغرة من جانب الخدمة، يجب التحقق من نسخة عميل Teams المنشورة على نقاط النهاية وتحديثها لأحدث إصدار عبر Intune أو SCCM.
2. مراجعة سجلات Microsoft Purview Audit وUnified Audit Log للفترة من 1 مارس 2026 وحتى تاريخ الترقيع، بحثاً عن أنماط وصول غير معتاد إلى ملفات أو محادثات من حسابات ضيوف أو حسابات بصلاحيات محدودة.
3. تفعيل سياسات Conditional Access الصارمة على Teams: حظر الوصول من الأجهزة غير المُدارة، فرض MFA المقاوم للتصيّد (FIDO2)، وتقييد الوصول جغرافياً للسوق المحلي.
4. تطبيق Microsoft Sensitivity Labels على القنوات والملفات الحساسة، مع تفعيل Double Key Encryption للبيانات الأكثر سرية.
5. إجراء حملة مراجعة شاملة لحسابات الضيوف External Users وإلغاء الحسابات الخاملة لأكثر من 30 يوماً.
6. إعداد قواعد كشف SIEM/XDR مخصصة لرصد قراءة كم كبير من الرسائل أو الملفات في فترة قصيرة، خاصة من حسابات لم تُظهر هذا النشاط سابقاً.
7. تحديث خطة الاستجابة للحوادث IR Playbook لتشمل سيناريو تسريب بيانات عبر Teams، مع التنسيق المسبق مع الجهة التنظيمية ومستشار قانوني PDPL.

الخلاصة

ثغرة CVE-2026-33823 في Microsoft Teams تذكير صريح بأن منصات التعاون السحابية ليست بمنأى عن مخاطر تخويل قد تقلب موازين الثقة الصفرية في لحظة. بنوك ومؤسسات السوق المالية السعودية مطالَبة بمعاملة Teams كأصل بيانات حرج، لا كأداة إنتاجية فقط، وبنسج ضوابط حوكمة الهوية والتحكم في الوصول حول كل قناة ومحادثة وملف. التحرك السريع اليوم أرخص بكثير من تكلفة حادثة كشف بيانات في ضوء PDPL وSAMA CSCC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.