CVE-2026-33825: ثلاث ثغرات صفرية في Windows Defender تهدد بنوك SAMA

في غضون 13 يوماً فقط من شهر أبريل 2026، كشف الباحثون عن ثلاث ثغرات صفرية متتالية في Microsoft Defender — أداة الحماية الافتراضية على ملايين نقاط النهاية في القطاع المالي السعودي. الأخطر أن ثنتين منها لا تزالان دون ترقيع رسمي حتى لحظة كتابة هذه السطور، فيما تستغلها مجموعات تهديد متقدمة لتصعيد الصلاحيات إلى مستوى SYSTEM وإسقاط أنظمة الحماية ذاتها.

تفاصيل الثغرات الثلاث: BlueHammer وRedSun وUnDefend

الثغرة الأولى المعروفة بـ BlueHammer رُصدت تحت المعرّف CVE-2026-33825 بدرجة CVSS 7.8، وتعتمد على ظرف تسابق من نوع TOCTOU في محرك معالجة التهديدات داخل Defender. يستغل المهاجم العملية المميّزة التي يجريها المحرك أثناء تنظيف الملفات الخبيثة، فيقوم بإعادة توجيه عملية الكتابة إلى مسار نظامي حساس قبل أن يتحقق المحرك من الوجهة، وبذلك يحصل المستخدم غير المصرَّح له على صلاحيات SYSTEM. أصدرت Microsoft رقعة طارئة في 14 أبريل 2026، إلا أن Huntress وثّقت استغلالاً نشطاً منذ 10 أبريل.

الثغرة الثانية RedSun تستهدف آلية معالجة Defender للملفات الموسومة بسحابة OneDrive، وتمكّن المهاجم من الكتابة فوق ملفات نظامية حرجة. أما UnDefend فتعطّل آلية تحديث Defender تدريجياً، ما يحوّل أداة الحماية الأساسية إلى نقطة عمياء داخل البيئة. الثنتان لم تُغلقا رسمياً، وتعتمد المؤسسات حالياً على ضوابط تخفيف يدوية فقط.

سيناريو الهجوم على بنية بنكية نموذجية

تتبّعت Huntress حملة باسم Nightmare-Eclipse تجمع الثغرات الثلاث في سلسلة قتل متكاملة: تنفيذ كود ابتدائي عبر هندسة اجتماعية أو وثيقة Office خبيثة، ثم تصعيد الصلاحيات بـ BlueHammer، ثم تعطيل قدرات الكشف بـ UnDefend، وأخيراً الكتابة فوق ثنائيات نظامية بـ RedSun لتحقيق الثبات. النتيجة: مهاجم بصلاحيات SYSTEM داخل محطة عمل صرّاف أو محلل ائتماني، دون أي تنبيه من EDR لأن الأداة المسؤولة عن التنبيه ذاتها أصبحت معطّلة.

الخطورة في القطاع المالي تتضاعف لأن محطات الموظفين كثيراً ما تُمنح وصولاً مباشراً أو غير مباشر إلى أنظمة الدفع، منصات SWIFT الطرفية، وقواعد بيانات العملاء. أي اختراق ناجح لنقطة نهاية واحدة يفتح الباب أمام حركة جانبية نحو أصول حرجة، وهو السيناريو الذي يُحذّر منه إطار MITRE ATT&CK في تكتيكات Defense Evasion (TA0005) وPrivilege Escalation (TA0004).

التأثير على المؤسسات المالية السعودية وضوابط SAMA

إطار SAMA Cyber Security Control Framework (CSCC) في الفصل 3.3.5 (Endpoint Security) يُلزم البنوك بنشر حلول حماية نقاط نهاية فعّالة قادرة على الكشف والاستجابة. كذلك تشترط ضوابط NCA ECC في المجال 2-5 (حماية الأنظمة وأجهزة معالجة المعلومات) قدرات منع البرمجيات الخبيثة المحدّثة باستمرار. عندما تتعطّل أداة الحماية الأساسية ذاتها، يقع البنك في حالة عدم امتثال فعلي حتى وإن كانت الأداة منصوبة ظاهرياً.

الأخطر أن متطلبات SAMA CSCC في 3.3.14 (Cyber Security Event Management) تفرض القدرة على رصد الأحداث المرتبطة بتعطيل ضوابط الأمان. الفرق الأمنية في البنوك السعودية مطالبة الآن بإضافة قواعد رصد محددة في منصات SIEM الخاصة بها لاكتشاف توقف خدمات Defender، أو غياب التحديثات لأكثر من 24 ساعة، أو ظهور عمليات mpcmdrun.exe بمعاملات غير اعتيادية.

التوصيات والخطوات العملية الفورية

1. تطبيق رقعة 14 أبريل 2026 من Microsoft على جميع نقاط النهاية المُدارة وغير المُدارة، مع التحقق من أن إصدار محرك Defender يساوي 1.1.25040.4 أو أحدث.
2. تفعيل Tamper Protection على مستوى المؤسسة عبر Microsoft Intune أو Group Policy لمنع إيقاف Defender محلياً، مع توثيق ذلك ضمن أدلة الامتثال للضابط 3.3.5 من CSCC.
3. إضافة قواعد رصد في SIEM لاكتشاف: توقف خدمة WinDefend، فشل تحديث التواقيع لأكثر من 24 ساعة، عمليات إنشاء ملفات في C:\ProgramData\Microsoft\Windows Defender\Platform بأذونات غير اعتيادية.
4. تنفيذ مسح استباقي بأدوات بديلة (CrowdStrike، SentinelOne، Defender for Endpoint Plan 2) للبحث عن مؤشرات Nightmare-Eclipse على المحطات الحساسة.
5. تقييد صلاحيات المستخدم المحلي (Least Privilege) ومنع تنفيذ السكربتات غير الموقّعة عبر AppLocker أو Windows Defender Application Control.
6. إجراء تمرين Purple Team محاكٍ لسلاسل BlueHammer وRedSun للتحقق من قدرات الكشف الفعلية، وتسجيل النتائج ضمن سجل المخاطر التشغيلية وفق متطلبات SAMA CSCC 3.1.
7. تحديث خطة الاستجابة للحوادث لتشمل سيناريو "تعطيل ضوابط الحماية" بوصفه حدثاً عالي الخطورة يستوجب الإبلاغ خلال الأطر الزمنية المحددة في تعميمات SAMA.

الخلاصة

ثلاث ثغرات صفرية تستهدف الأداة التي يفترض أن تحمي البنية التحتية تمثّل تحوّلاً نوعياً في تكتيكات المهاجمين: لم يعد الهدف اختراق المحيط فحسب، بل تعطيل ضوابط الكشف ذاتها. البنوك السعودية الخاضعة لإشراف SAMA لا تستطيع الاكتفاء بدورة الترقيع الشهرية، بل تحتاج إلى مراقبة مستمرة لصحة ضوابط الحماية، واختبار اختراق دوري يحاكي سيناريوهات Defense Evasion الحديثة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة فعالية ضوابط حماية نقاط النهاية وقدرات الكشف عن أساليب Defense Evasion.