ثغرات Windows Defender الثلاث: BlueHammer وRedSun وUnDefend تهدد أنظمة بنوك SAMA

كشف باحثون أمنيون عن ثلاث ثغرات يوم صفر في محرك Windows Defender تتيح لمهاجم محلي تصعيد صلاحياته إلى مستوى SYSTEM على جميع إصدارات Windows 10 وWindows 11 وWindows Server حتى 2025. Microsoft عالجت واحدة فقط — BlueHammer (CVE-2026-33825) — بينما تبقى RedSun وUnDefend بلا ترقيع وتُستغلّان فعلياً في هجمات حقيقية منذ أبريل 2026.

الثغرة الأولى: BlueHammer — سباق TOCTOU في محرك المعالجة

تحمل BlueHammer المعرّف CVE-2026-33825 بتقييم CVSS 7.8، وتستند إلى حالة سباق من نوع Time-of-Check to Time-of-Use (TOCTOU) داخل محرك معالجة التهديدات في Defender. عندما يكتشف Defender ملفاً خبيثاً، يبدأ عملية حذف أو عزل بصلاحيات SYSTEM دون التحقق الكافي من مسار الملف لحظة الكتابة الفعلية. يضع المهاجم ملفاً يطلق كشف Defender، ثم يستخدم Batch Opportunistic Lock (oplock) لتجميد عملية الملف عند نقطة حرجة. خلال هذا التجميد، ينشئ المهاجم نقطة وصل NTFS Junction تعيد توجيه مسار Defender من المجلد المؤقت إلى C:\Windows\System32، مما يسمح بكتابة ملفات تعسفية بصلاحيات النظام الكاملة.

رصدت شركة Huntress أول استغلال فعلي لـ BlueHammer في 10 أبريل 2026، وأصدرت Microsoft ترقيعاً طارئاً في 14 أبريل. لكن المشكلة لم تنتهِ عند هذا الحد.

الثغرة الثانية: RedSun — استغلال ملفات السحابة لتجاوز الحماية

RedSun تقنية تصعيد صلاحيات مختلفة تماماً تستغل طريقة تعامل Defender مع الملفات المُعلَّمة بوسوم التخزين السحابي (Cloud-Tagged Files). عندما يتعامل Defender مع ملف يحمل وسم Cloud Placeholder، يحاول استعادة النسخة الأصلية بدلاً من العزل أو الحذف. يقوم المهاجم بإعداد ملف خبيث وتطبيق وسم سحابي عبر Windows Cloud Files API، ثم إعادة توجيه عملية الاستعادة إلى مسار ذي صلاحيات عالية باستخدام NTFS Junctions وoplocks.

الخطير في RedSun أنها لا تزال بلا ترقيع حتى تاريخ كتابة هذا المقال. رصدت Huntress استغلالها الفعلي بدءاً من 16 أبريل 2026، مع نشاط يدوي للمهاجمين يشمل أوامر استطلاع وتحرك جانبي داخل الشبكات المخترقة.

الثغرة الثالثة: UnDefend — تعطيل Defender من الداخل

UnDefend هي الأخطر من حيث التأثير العملي، إذ تتيح للمهاجم تعطيل خدمة Windows Defender بالكامل من حساب مستخدم عادي بدون صلاحيات إدارية. التفاصيل التقنية الكاملة لم تُنشر بعد لتقليل مخاطر الاستغلال الواسع، لكن التقارير تؤكد استخدامها في هجمات حقيقية بالتوازي مع RedSun. تعطيل حل الحماية الأساسي يفتح الباب أمام تنفيذ برمجيات الفدية والأدوات الخبيثة دون أي كشف.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد الغالبية العظمى من البنوك والمؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) على بيئات Windows في محطات العمل والخوادم. ثغرات تصعيد الصلاحيات المحلية قد تبدو أقل خطورة من الثغرات عن بُعد، لكن في سياق SAMA CSCC فإنها تمثل تهديداً مباشراً لعدة أسباب: أولاً، أي موظف داخلي أو مهاجم حصل على موطئ قدم أولي عبر تصيد إلكتروني يمكنه التصعيد إلى SYSTEM والسيطرة الكاملة على الجهاز. ثانياً، تعطيل Defender عبر UnDefend يُبطل ضوابط الكشف المطلوبة في نطاق NCA ECC المتعلقة بمراقبة نقاط النهاية. ثالثاً، إطار SAMA CSCC يشترط في نطاق إدارة الثغرات تطبيق الترقيعات الحرجة خلال أُطر زمنية محددة — وبقاء ثغرتين بلا ترقيع يخلق فجوة امتثال يصعب تبريرها للمدققين.

التوصيات والخطوات العملية

1. تطبيق ترقيع BlueHammer فوراً: تحقق من تحديث Defender إلى الإصدار الذي يعالج CVE-2026-33825 على جميع محطات العمل والخوادم. استخدم WSUS أو SCCM أو Intune للتوزيع المركزي.
2. تفعيل Tamper Protection: ميزة Tamper Protection في Microsoft Defender for Endpoint تمنع تعطيل الخدمة أو تعديل إعداداتها، وهي خط دفاع أساسي ضد UnDefend. تأكد من تفعيلها عبر سياسات المؤسسة.
3. مراقبة NTFS Junctions وoplocks: أضف قواعد كشف في حلول EDR لرصد إنشاء NTFS Junction Points في مسارات مؤقتة متبوعة بعمليات ملفات بصلاحيات SYSTEM — هذا هو النمط المميز لكلا الثغرتين.
4. تقييد صلاحيات المستخدمين المحليين: طبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) وامنع المستخدمين العاديين من إنشاء Symbolic Links عبر سياسات المجموعة SeCreateSymbolicLinkPrivilege.
5. نشر حل EDR إضافي: الاعتماد على Defender وحده كخط دفاع أحادي يجعل المؤسسة عرضة لـ UnDefend. حلول EDR من طرف ثالث مثل CrowdStrike أو SentinelOne توفر طبقة حماية مستقلة.
6. تحديث تقييم المخاطر: وثّق هذه الثغرات في سجل المخاطر وارفع مستوى الخطر للأنظمة التي تعتمد حصرياً على Defender، مع خطة معالجة واضحة تتوافق مع متطلبات SAMA CSCC لإدارة الثغرات.

الخلاصة

ثغرات BlueHammer وRedSun وUnDefend تذكّرنا بأن أدوات الحماية نفسها يمكن أن تتحول إلى نقاط ضعف. المؤسسات المالية السعودية التي تعتمد على Windows Defender كحل أساسي لحماية نقاط النهاية تحتاج إلى مراجعة فورية لاستراتيجية الدفاع متعدد الطبقات. الترقيع وحده لا يكفي عندما تبقى ثغرتان من ثلاث بلا معالجة — المطلوب هو ضوابط تعويضية وكشف سلوكي استباقي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد فجوات حماية نقاط النهاية قبل أن يستغلها المهاجمون.