خلاف شخصي يتحول إلى تهديد عالمي بموجة هجمات سيبرانية تستهدف المؤسسات… ما القصة؟

حذّر خبراء متخصصون في الأمن السيبراني من وقوع هجمات قرصنة محتملة على المؤسسات التي تعتمد على أنظمة «Windows» خلال الأيام القادمة، بسبب ثغرات خطيرة سرّب تفاصيلها باحث أمني على خلاف شخصي مع شركة «مايكروسوفت».

ووفقاً لموقع «TechCrunch»، تحمل هذه الثغرات أسماء «BlueHammer» و«UnDefend» و«RedSun»، وجميعها تستهدف مكوّنات أساسية في برنامج الحماية المدمج «Microsoft Defender»، الذي يُعد درع الحماية الأول في منظومة «Windows».

وقد تمكن قراصنة فعلياً من استغلال إحدى الثغرات المنشورة علناً، وسُجّل اختراق مؤسسة واحدة على الأقل حتى الآن.

كيف اكتشف المهاجمون ثغرات Microsoft Defender؟

تعود بداية القصة إلى مطلع شهر أبريل الجاري، حين نشر باحث يستخدم الاسم المستعار «Chaotic Eclipse» أول كود استغلال لثغرة في Defender، وهي «BlueHammer»، على مدونته الشخصية باعتبارها مشكلة تقنية يعاني منها نظام ويندوز الأمني.

وألمح الباحث المذكور إلى خلاف مع فريق الاستجابة الأمني في شركة «مايكروسوفت» حول طريقة التعامل مع بلاغاته.

لاحقاً، نشر الباحث أكواداً إضافية لثغرتي «UnDefend» و«RedSun»، ثم وضع الأكواد الثلاثة على منصة «GitHub» بشكل مفتوح، مما جعلها متاحة للجميع، بما في ذلك مجموعات القرصنة.

هجمات مؤكدة في بيئات حقيقية

أكدت شركة الأمن السيبراني «Huntress» أنها رصدت أول استغلال فعلي لثغرة «BlueHammer» في 10 أبريل، قبل أن تكتشف في 16 أبريل استخداماً متزامناً لثغرتي «RedSun» و«UnDefend» على جهاز ضمن شبكة إحدى المؤسسات تم الوصول إليها عبر بيانات VPN مسروقة.

ووصفت الشركة الهجوم بأنه «نشاط مباشر من المهاجم داخل الشبكة»، مما يشير إلى أن القراصنة نفذوا خطوات متقدمة بعد الدخول.

ماذا تتيح الثغرات الأمنية للمهاجمين؟

وفقاً لتحليل منصة «BleepingComputer» المتخصصة في الأمن السيبراني، فإن الثغرات الثلاث تمنح قدرات ترتّب خطراً جدياً على المؤسسات، وذلك لأن:

• ثغرة «BlueHammer»: تتيح تصعيد الصلاحيات من مستخدم عادي إلى مستوى أعلى داخل النظام.
• ثغرة «RedSun»: تُوصف بأنها الأخطر حالياً، إذ تمنح صلاحيات كاملة على مستوى النظام في أجهزة «Windows 10» و«Windows 11» و«Windows Server» حتى بعد تثبيت تحديثات أبريل، طالما لم يصدر تصحيح مخصص لها.
• ثغرة «UnDefend»: تسمح بتعطيل برنامج الحماية «Microsoft Defender» أو التسبب في توقفه، مما يمنع التحديثات ويترك النظام مكشوفاً أمام الهجمات.

وبذلك يتحول برنامج الحماية نفسه إلى منصة استهداف، حيث يسمح للمهاجمين بتثبيت برمجيات تجسس، أو نشر فيروسات فدية، أو التحرك داخل شبكة المؤسسة للوصول إلى الخوادم والبيانات.

تحرك بطيء لمايكروسوفت

أصدرت «مايكروسوفت» تصحيحاً لثغرة «BlueHammer» ضمن تحديثات أبريل، وتم تسجيلها رسمياً تحت المعرف CVE‑2026‑33825.

في المقابل، لا تزال ثغرتا «RedSun» و«UnDefend» بلا إصلاح حتى الآن، مما يترك ملايين الأجهزة المعتمدة على Defender في وضع هش، خصوصاً في بيئات الشركات التي يصعب فيها تعطيل برنامج الحماية أو استبداله.

وتحذر التقارير من أن استغلال ثغرة «RedSun» يظل فعالاً حتى بعد تطبيق جميع تحديثات Patch Tuesday الأخيرة، وبذلك تبقى المؤسسات التي تعتقد أنها محمية عرضة للهجمات السيبرانية.

توصيات عاجلة للمؤسسات لتفادي تأثيرات ثغرات Windows Defender

يوصي خبراء الأمن السيبراني مسؤولي المؤسسات وفرق الدعم الفني بمجموعة من الإجراءات التي تحد من تأثيرات استغلال الثغرات المكشوفة في برنامج «Windows Defender»، أهمها:

1. تثبيت جميع تحديثات أبريل 2026، خصوصاً تلك المتعلقة بمنصة «Microsoft Defender»، إذ يعالج هذا التحديث ثغرة «BlueHammer» ويمنع استغلالها في الهجمات الجارية.
2. مراجعة سجلات الأجهزة بشكل دوري لرصد أي محاولات لتعطيل Defender أو تغييرات غير معتادة في إعداداته، وهي مؤشرات قد تدل على استغلال ثغرتي «UnDefend» أو «RedSun» اللتين ما تزالان دون تصحيح رسمي.
3. الحد من صلاحيات المستخدمين قدر الإمكان، بحيث لا يتمكن مهاجم يبدأ من حساب محدود من استغلال ثغرات التصعيد للوصول إلى مستويات أعلى داخل النظام.
4. إضافة طبقات حماية داعمة مثل حلول أمنية من طرف ثالث، أو أنظمة كشف التهديدات المتقدمة، خاصة في الشبكات الحساسة أو البيئات التي تحتوي على بيانات حرجة.
5. نشر الوعي بين الموظفين، والطلب إليهم عدم تشغيل أدوات أو سكربتات «اختبار أمان» من مصادر غير موثوقة، إذ قد تكون في الواقع نسخاً جاهزة من أكواد الاستغلال المسربة.

المصدر
TechCrunch
مدونة الباحث الأمني