ثغرة Windows Shell CVE-2026-32202: سرقة بيانات NTLM تهدد بنوك SAMA

أكدت Microsoft ووكالة الأمن السيبراني الأمريكية CISA الاستغلال النشط لثغرة جديدة في Windows Shell تحمل المعرّف CVE-2026-32202، وهي ثغرة صفرية النقرة (Zero-Click) تتيح سرقة بيانات اعتماد NTLM عبر ملفات الاختصار LNK دون أي تفاعل من المستخدم. الثغرة نتيجة ترقيع غير مكتمل لإصلاح سابق (CVE-2026-21510)، وقد رصدت Akamai أن مجموعة APT28 (Fancy Bear) المرتبطة بالاستخبارات الروسية تستغلها فعلياً ضد أهداف حكومية ومالية. أضافت CISA الثغرة إلى كتالوج KEV ومنحت الجهات الفيدرالية مهلة حتى 12 مايو 2026 للترقيع.

التفاصيل التقنية لثغرة CVE-2026-32202

تتعلق الثغرة بكيفية معالجة Windows لمسارات UNC المضمّنة داخل ملفات الاختصار (LNK). عندما يفتح المستخدم ملف LNK خبيثاً، يقوم نظام التشغيل تلقائياً بمحاولة الوصول إلى المسار البعيد عبر بروتوكول SMB، مما يطلق آلية المصادقة عبر NTLM ويرسل تجزئة Net-NTLMv2 الخاصة بالضحية إلى خادم يتحكم به المهاجم.

الخطورة الحقيقية تكمن في أن الضحية لا تحتاج إلى تنفيذ الملف أو النقر عليه؛ مجرد عرضه في مستكشف الملفات (Windows Explorer) أو معاينته في رسالة بريد إلكتروني كافٍ لإطلاق الاتصال SMB التلقائي. هذه الفجوة الزمنية بين تحليل المسار والتحقق من الثقة هي ما تركها الترقيع السابق مكشوفة، بحسب تحليل باحثي Akamai.

كيف تستغل APT28 الثغرة في هجمات NTLM Relay

بمجرد حصول المهاجم على تجزئة Net-NTLMv2، يمكنه إطلاق هجوم إعادة توجيه NTLM (NTLM Relay) على خدمات داخلية مثل Active Directory Certificate Services (AD CS) أو SMB Signing الضعيف، وانتحال هوية المستخدم للوصول إلى موارد حساسة. كما يمكن كسر التجزئة بطرق هجوم القاموس (offline cracking) باستخدام أدوات مثل hashcat، خاصة إذا كانت كلمة مرور المستخدم ضعيفة.

في القطاع المالي، تعني هذه الثغرة أن مهاجماً يرسل بريداً إلكترونياً يحتوي على ملف LNK خبيث إلى موظف في إدارة الخزينة أو الامتثال يمكنه — عبر مجرد فتح مجلد التنزيلات أو معاينة المرفق — الحصول على بيانات اعتماد ميدانية تفتح الباب أمام التحرك الجانبي (Lateral Movement) إلى أنظمة Core Banking أو SWIFT.

التأثير على المؤسسات المالية السعودية

تعتمد غالبية بنوك المملكة على بيئات Windows هجينة تضم محطات عمل للموظفين وخوادم تطبيقية وخوادم ملفات داخلية، وهي البيئة المثالية لانتشار هذا النوع من الهجمات. وفق متطلبات إطار SAMA CSCC، تحديداً الضوابط 3.3.5 (Cryptography) و3.3.13 (Endpoint Security) و3.3.14 (Email Security)، يجب على البنوك ضمان استخدام بروتوكولات مصادقة قوية وحماية نقاط النهاية من ملفات LNK الخبيثة.

كذلك تشترط الضوابط الأساسية للأمن السيبراني NCA ECC في مجال "حماية الأنظمة وأجهزة معالجة المعلومات" (UAC-2-3-1) أن تكون أنظمة التشغيل محدّثة بآخر التصحيحات. عدم ترقيع هذه الثغرة قد يؤدي إلى فشل في التدقيق التنظيمي، فضلاً عن مخاطر تسرب البيانات الشخصية المنظمة بنظام حماية البيانات الشخصية PDPL.

التوصيات والخطوات العملية للحماية الفورية

1. تطبيق التحديث الأمني فوراً: نشر تحديث Microsoft الصادر في 28 أبريل 2026 على جميع محطات العمل والخوادم خلال 72 ساعة كحد أقصى، مع توثيق ذلك في سجل إدارة التغيير وفق SAMA CSCC ضابط 3.3.7.
2. تعطيل المصادقة الصادرة عبر SMB إلى الإنترنت: ضبط جدران الحماية لمنع منفذ TCP/445 من الخروج إلى أي عناوين IP خارجية، وتطبيق سياسة GPO لتعطيل NTLM للمصادقة الخارجية (Network security: Restrict NTLM: Outgoing NTLM traffic).
3. تفعيل SMB Signing وExtended Protection for Authentication (EPA): هذا يحبط هجمات NTLM Relay حتى لو سُربت التجزئة، وهو متطلب مباشر ضمن SAMA CSCC ضابط 3.3.5.
4. تعزيز فحص ملفات LNK في بوابات البريد الإلكتروني: إضافة قواعد في Microsoft Defender for Office 365 أو Proofpoint لحجب أي مرفقات .lnk أو ملفات أرشيف تحتوي على LNK.
5. نشر قواعد كشف في SOC: رصد محاولات اتصال SMB صادرة من محطات عمل المستخدمين إلى عناوين IP عامة، وربط ذلك بسجلات Defender وSIEM ضمن استخدام تنبيهات MITRE ATT&CK T1187 (Forced Authentication).
6. تدريب الموظفين: تنبيه فرق الخزينة والامتثال والعمليات إلى مخاطر فتح المجلدات الواردة من مصادر غير موثوقة، حتى دون تشغيل الملفات.
7. مراجعة سياسة كلمات المرور: رفع تعقيد كلمات المرور إلى ١٤ حرفاً على الأقل لمواجهة كسر التجزئة دون اتصال.

الخلاصة

تمثل ثغرة CVE-2026-32202 تذكيراً صارخاً بأن الترقيع غير المكتمل قد يكون أخطر من غياب الترقيع نفسه، خصوصاً عندما يتعلق الأمر بتقنيات أساسية مثل بروتوكول NTLM. مع استغلال نشط من APT28 وإمكانية تنفيذ الهجوم بصمت تام دون نقر المستخدم، فإن النافذة الزمنية للحماية ضيقة. على بنوك SAMA التحرك خلال هذا الأسبوع لضمان الترقيع، تعطيل NTLM الخارجي، وتفعيل SMB Signing.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وفحص بيئتك للتأكد من معالجة جميع نواقل هجوم NTLM Relay وثغرات Windows Shell.