CVE-2026-32202: ثغرة Windows Shell صفرية النقر تهدد بنوك SAMA

كشفت Microsoft وCISA عن استغلال نشط لثغرة Windows Shell صفرية النقر تحمل المعرّف CVE-2026-32202، تتيح للمهاجمين سرقة بيانات اعتماد NTLMv2 من أنظمة موظفي البنوك السعودية بمجرد تصفح مجلد يحتوي على ملف LNK خبيث — دون أي نقرة أو تشغيل. الثغرة أصبحت في كتالوج KEV التابع لـ CISA، ونُسبت عمليات استغلالها إلى مجموعة APT28 الروسية، ما يجعلها تهديداً مباشراً لمتطلبات SAMA CSCC الخاصة بحماية الهوية والوصول.

تفاصيل تقنية: لماذا CVE-2026-32202 خطيرة بهذا الشكل

الثغرة تكمن في طريقة معالجة Windows Explorer لاختصارات LNK داخل المجلدات. عندما يحتوي ملف اختصار خبيث على مسار UNC يشير إلى خادم SMB يتحكم به المهاجم، تقوم منصة Windows تلقائياً بتأسيس اتصال SMB وتسليم تجزئة NTLMv2 للضحية. لا حاجة لفتح الملف ولا لتنفيذه؛ مجرد فتح المجلد كافٍ لتشغيل سلسلة الاستغلال. هذا السلوك يجعل الثغرة من فئة "صفرية النقر" (Zero-Click) وهي الأخطر في تصنيفات MITRE ATT&CK ضمن تكتيك Credential Access (TA0006).

الأخطر أن CVE-2026-32202 ظهرت كنتيجة لترقيع غير مكتمل لثغرة سابقة هي CVE-2026-21510. أصدرت Microsoft الترقيع الأصلي في فبراير 2026، لكن الباحثين في Akamai أثبتوا أن المسار البديل لا يزال قابلاً للاستغلال. أُصدرت الرقعة المصححة في تحديثات Patch Tuesday في 14 أبريل 2026، إلا أن Microsoft لم تُعلِم العملاء بالاستغلال الفعلي إلا في 27 أبريل، ما ترك نافذة استغلال صامت تجاوزت أسبوعين.

كيف تستغل APT28 الثغرة في حملات استهداف القطاع المالي

عمليات APT28 (المعروفة أيضاً بـ Fancy Bear وForest Blizzard) تتبع نمطاً منهجياً: إرسال رابط مشاركة ملف عبر بريد تصيدي يبدو أنه من مزوّد خدمة موثوق، ثم انتظار قيام الموظف بمزامنة المجلد محلياً. بمجرد المزامنة وتصفح المجلد، تُسلّم التجزئة وتُستخدم في هجمات Pass-the-Hash أو في كسر كلمات المرور دون اتصال (Offline Cracking) ضمن دقائق إذا كانت كلمة المرور أقل من 14 خانة.

الحملات الموثقة بدأت في ديسمبر 2025 ضد مؤسسات في أوكرانيا والاتحاد الأوروبي، لكن تحليل البنية التحتية للهجمات يكشف خوادم C2 جاهزة لاستهداف منطقة الخليج. مجموعات Initial Access Brokers بدأت بالفعل في عرض أدوات استغلال CVE-2026-32202 المُعبأة على منتديات XSS وExploit، ما يعني أن انتشار الاستغلال على نطاق واسع مسألة أيام لا أسابيع.

التأثير على المؤسسات المالية السعودية والمتطلبات التنظيمية

بنوك SAMA تعتمد بكثافة على Active Directory في إدارة الهويات، وأي تسريب لتجزئة NTLMv2 لمسؤول مجال أو حتى لمستخدم خدمة يفتح طريقاً مباشراً للحركة الجانبية وتصعيد الامتيازات. الثغرة تُخالف صراحةً متطلبات SAMA CSCC في القسم 3.3.5 (Identity and Access Management) الذي يفرض حماية بيانات الاعتماد من السرقة. كما تتقاطع مع NCA ECC ضوابط T2-3-1-2 و T2-3-2-1 الخاصة بحماية أنظمة التشغيل وإدارة الثغرات الحرجة.

من زاوية PDPL، أي اختراق ينتج عن CVE-2026-32202 يصل إلى بيانات عملاء بنكية سيُصنّف كحادث جسيم يستوجب الإبلاغ خلال 72 ساعة لهيئة حماية البيانات، مع غرامات قد تصل إلى 5 ملايين ريال. بالنسبة لبنوك تعالج بطاقات دفع، PCI-DSS 4.0 تفرض في المتطلب 6.3.3 ترقيع الثغرات الحرجة خلال شهر، وCVE-2026-32202 تستوفي تعريف "الحرجة" بكل المعايير.

التوصيات والخطوات العملية للترقيع والاستجابة

1. تطبيق رقعة April 2026 Patch Tuesday فوراً على جميع أنظمة Windows 10/11 وWindows Server 2019/2022 — الموعد النهائي وفق CISA هو 12 مايو 2026 لأي مؤسسة تتبع توجيهاتها.
2. تعطيل بروتوكول NTLM حيث أمكن، أو على الأقل تفعيل سياسة "Restrict NTLM: Outgoing NTLM traffic to remote servers = Deny all" لمنع تسريب التجزئة خارج النطاق المحلي.
3. تفعيل SMB Signing وتعطيل SMBv1 على جميع نقاط النهاية والخوادم؛ هذه الإعدادات تكسر مسار التسليم تلقائياً حتى قبل الترقيع.
4. إعادة تعيين كلمات مرور حسابات الخدمة (Service Accounts) وحسابات المسؤولين بكلمات لا تقل عن 25 خانة لمنع كسر التجزئة دون اتصال خلال فترات معقولة.
5. إنشاء قواعد كشف في SIEM ترصد اتصالات SMB صادرة من محطات عمل المستخدمين إلى عناوين IP خارجية — هذا مؤشر قوي على استغلال نشط.
6. تنفيذ Threat Hunting لمدة 30 يوماً للخلف للبحث عن سجلات Event ID 4624 و4625 المرتبطة بمصادقات NTLMv2 من مصادر غير معتادة.
7. تحديث خطة الاستجابة للحوادث لتشمل سيناريو سرقة تجزئة بدون تنفيذ ملف، وإجراء تمرين Tabletop خلال 14 يوماً لاختبار الاستجابة.

الخلاصة

CVE-2026-32202 ليست مجرد ثغرة Windows عادية؛ هي مثال صارخ على كيف يتحول ترقيع غير مكتمل إلى نافذة استغلال صفرية النقر يستفيد منها فاعلون متقدمون. بنوك SAMA التي تتأخر في الترقيع قبل 12 مايو تعرّض نفسها لانتهاكات SAMA CSCC وNCA ECC وPDPL في آن واحد، وهي مخاطر تنظيمية ومالية لا تحتمل التأجيل.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحصاً مخصصاً لتعرّض بيئتك لـ CVE-2026-32202 وثغرات NTLM المرتبطة.