Storm-1175 تستغل ثغرة Exchange لنشر فدية Medusa — تحذير CISA وPatch Tuesday أبريل 2026

في 13 أبريل 2026، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيراً عاجلاً بإضافة سبع ثغرات جديدة إلى كتالوج الثغرات المستغلة المعروفة (KEV)، من بينها ثغرتان تطالان منتجات Microsoft الأكثر انتشاراً في البيئات المؤسسية: Microsoft Exchange Server وWindows Common Log File System. ما يرفع مستوى الخطورة هو أن مجموعة تهديد متقدمة تُعرف بـ Storm-1175 تُوظّف ثغرة Exchange بالفعل لنشر برنامج الفدية Medusa داخل مؤسسات مالية، وهو ما يجعل هذا التحذير ذا أولوية قصوى لكل بنك وشركة تأمين وجهة مالية خاضعة لرقابة SAMA في المملكة العربية السعودية.

تفاصيل الثغرتين: CVE-2023-21529 وCVE-2023-36424

تُصنَّف CVE-2023-21529 ضمن فئة "إلغاء تسلسل البيانات غير الموثوقة" في Microsoft Exchange Server، وتحمل درجة CVSS تبلغ 8.8. يكفي المهاجم امتلاك حساب مصادق عليه — حتى حساب موظف عادي — لتنفيذ كود ضار عن بُعد (RCE) على الخادم. في سياق المؤسسات المالية، يعني هذا أن اختراقاً واحداً لبريد إلكتروني عبر تصيّد احتيالي قد يتحول في دقائق إلى تحكم كامل بخادم Exchange.

أما CVE-2023-36424، فهي ثغرة قراءة خارج الحدود (Out-of-Bounds Read) في مشغّل Windows CLFS بدرجة CVSS 7.8، وتُستخدم عادةً كأداة تصعيد صلاحيات (Privilege Escalation) عقب الاختراق الأولي، مما يُمكّن المهاجم من الانتقال من امتيازات محدودة إلى صلاحيات SYSTEM على الجهاز المخترق.

Storm-1175 وبرنامج الفدية Medusa: التهديد الفعلي

Storm-1175 مجموعة تهديد موثقة لدى فرق الاستخبارات التهديدية في Microsoft وCrowdStrike، تنشط بشكل ممنهج ضد القطاعات المالية والحكومية في منطقة الشرق الأوسط وأفريقيا. أسلوبها المعتاد: استغلال CVE-2023-21529 للدخول إلى بيئة Exchange، ثم استخدام CVE-2023-36424 لرفع الصلاحيات، فنشر Medusa Ransomware-as-a-Service على أقصى نطاق ممكن داخل الشبكة الداخلية. برنامج Medusa يُشفّر البيانات ويُهدد بنشرها علناً خلال 72 ساعة ما لم تُدفع الفدية، وهو ما يُشكّل تهديداً مزدوجاً: تعطّل العمليات وتسريب بيانات العملاء.

الخطير في هذا السيناريو أن كلتا الثغرتين تعودان تقنياً إلى عام 2023، أي أن الترقيع كان متاحاً منذ سنوات. ومع ذلك، وجدت CISA أدلة على استغلالهما النشط في 2026، مما يدل على أن كثيراً من المؤسسات لم تُطبّق التحديثات في وقتها.

Patch Tuesday أبريل 2026: 167 ثغرة في جلسة واحدة

في الإطار الأشمل، أصدرت Microsoft في 14 أبريل 2026 حزمة Patch Tuesday الشهرية التي تعالج 167 ثغرة أمنية، من بينها ثماني ثغرات حرجة (Critical) تتركز في ثغرات تنفيذ الكود عن بُعد. كما شملت الحزمة إصلاح ثغرتين صفريتين (Zero-Day): إحداهما كانت معروفة علناً وأخرى كانت تُستغل فعلياً في الميدان. حجم هذه الحزمة غير المعتاد يعكس التوسع الهائل في سطح الهجوم ضمن بيئات Microsoft الحديثة التي تجمع بين Windows Server وExchange وSharePoint وAzure AD.

لفرق الأمن في البنوك السعودية، هذا يعني ضرورة إعادة ترتيب أولويات التحديث وفق مبدأ الأثر التشغيلي لا الجدول الزمني التقليدي: الثغرات الموجودة في كتالوج CISA KEV تأخذ الأولوية المطلقة، تليها الثغرات الحرجة ذات ناقل الهجوم الشبكي (Network Vector).

التأثير على المؤسسات المالية السعودية وربط SAMA وNCA

بموجب الإطار التنظيمي لـ SAMA CSCC (Cyber Security Framework للبنك المركزي السعودي)، يُلزَم كل بنك ومؤسسة مالية بتطبيق إدارة منهجية للتحديثات الأمنية ضمن دورات زمنية محددة بحسب درجة الخطورة. الثغرات الموجودة في كتالوج CISA KEV والتي تحمل درجة CVSS فوق 8.0 تستوجب عادةً معالجة خلال 48 إلى 72 ساعة وفق السياسات الداخلية المعتمدة لدى معظم البنوك الكبرى. كذلك تشترط NCA ECC (الضوابط الأساسية للأمن السيبراني) مراقبة مستمرة للبنية التحتية الحرجة واختبار دوري للتحديثات في بيئة staging قبل نشرها في الإنتاج. التعامل مع 167 ثغرة في حزمة واحدة دون منهجية واضحة يعرّض المؤسسة لخطر التوقف غير المخطط أو تطبيق تحديثات غير مختبرة بسرعة مفرطة.

التوصيات والخطوات العملية

1. تطبيق تحديث CVE-2023-21529 فوراً: إذا لم تكن قد طبّقت تحديثات Exchange الخاصة بهذه الثغرة، فالمهلة 27 أبريل 2026 وفق CISA. تحقق من إصدار Exchange الحالي وقارنه بقائمة التحديثات المطلوبة في advisory رسمي من Microsoft.
2. إغلاق ثغرة CVE-2023-36424 على جميع Windows Servers: طبّق تحديث الأمن الخاص بـ CLFS Driver المضمّن في حزمة Patch Tuesday أبريل 2026. افحص كل أجهزة الخوادم بما فيها بيئات المحاكاة الافتراضية.
3. مراقبة سلوك حسابات Exchange: فعّل تسجيل نشاط Exchange وابحث عن طلبات Deserialization غير مألوفة أو اتصالات PowerShell Remoting غير متوقعة. منتجات مثل Microsoft Defender for Identity وSentinelOne تُتيح كشف هذا النشاط تلقائياً.
4. عزل أي خادم Exchange غير مُحدَّث: في حال تعذّر التحديث الفوري بسبب قيود تشغيلية، افصل خادم Exchange عن الإنترنت المباشر وضع WAF أمامه مع قواعد كشف مخصصة للثغرة.
5. مراجعة نسخ الاحتياط ومخططات الاستعادة: برنامج Medusa يستهدف بشكل خاص محطات النسخ الاحتياطي قبل تنفيذ التشفير. تحقق من وجود نسخ offline و immutable backups لا يمكن الوصول إليها من شبكة الإنتاج.
6. اختبار مدى التعرض (Exposure Assessment): نفّذ فحصاً داخلياً سريعاً بأدوات مثل Nessus أو Qualys أو Tenable.io يستهدف تحديداً CVEs الواردة في قائمة CISA KEV المستجدة.

الخلاصة

ثغرة Microsoft Exchange CVE-2023-21529 ليست جديدة، لكن استغلالها الفعلي في 2026 بواسطة Storm-1175 لنشر Medusa يُذكّرنا بحقيقة صعبة: إدارة التحديثات الأمنية ليست مهمة تقنية روتينية، بل هي خط دفاع أول يمس مباشرةً استمرارية الأعمال وحماية بيانات العملاء والامتثال التنظيمي. في بيئة المؤسسات المالية السعودية حيث تتشابك متطلبات SAMA وNCA وPDPL، يصبح الإخفاق في الترقيع عرضةً للغرامات التنظيمية قبل أن يكون عرضةً للاختراق.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما يشمل مراجعة إجراءات إدارة الثغرات وإعداد خارطة طريق للامتثال.