كشفت منصة TechCrunch أن قراصنة نجحوا بالفعل في اختراق واحدة على الأقل من المؤسسات، مستغلين ثلاث ثغرات خطيرة في نُشرت تفاصيلها وأكواد استغلالها علنًا خلال الأسبوعين الماضيين على يد باحث أمني غاضب من مايكروسوفت.
وأوضحت شركة الأمن السيبراني Huntress أن المهاجمين يستفيدون من ثلاث ثغرات أُطلق عليها أسماء BlueHammer وUnDefend وRedSun، كلها مرتبطة ببرنامج الحماية المدمج Microsoft Defender في أنظمة ويندوز.
خطورة الموقف لا تتعلق فقط بوجود ثغرات، بل بكونها من نوع «يوم صفري» تم نشر كود استغلالها بالكامل على الإنترنت قبل أن تُغلقها مايكروسوفت، ما جعلها «هدية مجانية» للمهاجمين الباحثين عن نقاط دخول إلى شبكات الشركات.
من تسريب «انتقامي» إلى أداة في يد القراصنة
وفقًا لـTechCrunch وBleepingComputer، بدأت القصة مطلع الشهر عندما نشر باحث يستخدم الاسم المستعار Chaotic Eclipse – المعروف أيضًا باسم Nightmare‑Eclipse – كود استغلال لثغرة أولى في ويندوز Defender على مدونته، ملمّحًا إلى خلاف مع فريق استجابة مايكروسوفت لمشاكل الأمان (MSRC) على طريقة التعامل مع بلاغاته.
لاحقًا، نشر الباحث استغلالين إضافيين لثغرتي UnDefend وRedSun، مع وضع أكواد الاستغلال الثلاثة على GitHub بشكل علني، ما أتاح لأي شخص – بما فيهم قراصنة الجريمة الإلكترونية – تحميل الكود وتجربته مباشرة على أنظمة ويندوز.
Huntress أكدت أنها رصدت في العاشر من أبريل أولى محاولات استغلال BlueHammer في بيئة حقيقية، قبل أن ترى في 16 أبريل استخدامًا متزامنًا لاستغلالات UnDefend وRedSun على جهاز ويندوز تم اختراقه عبر حساب VPN مسروق، في هجوم أظهر ما وصفته الشركة بـ«نشاط يدوي مباشر» من المهاجم داخل الشبكة (Hands‑On‑Keyboard).
باختصار، ما بدأ كاحتجاج من باحث أصبح بسرعة ذخيرة حية في يد مهاجمين حقيقيين ضد مؤسسات حقيقية.
ما الذي تتيحه هذه الثغرات للمهاجمين؟
توضح BleepingComputer أن الثغرات الثلاث تستهدف مكوّنات في Microsoft Defender، وتسمح باستغلالات خطيرة تتجاوز مجرد تعطيل برنامج الحماية:
BlueHammer: ثغرة تتيح تصعيد الصلاحيات (Privilege Escalation) من مستخدم عادي إلى صلاحيات أعلى داخل النظام.
RedSun: أخطرها حاليًا، وتسمح – حتى بعد تثبيت تحديثات أبريل – بالحصول على صلاحيات SYSTEM الكاملة على أجهزة ويندوز 10 وويندوز 11 وويندوز سيرفر 2019 وما بعدها طالما كان Defender مفعّلًا.
UnDefend: تُستخدم لتعطيل Microsoft Defender أو إثارة حالة «حرمان من الخدمة» على محرك الحماية، بما يمنع التحديثات ويترك النظام مكشوفًا أمام تهديدات أخرى.
هذا النوع من الثغرات يجعل من برنامج الحماية نفسه نقطة انطلاق للهجوم؛ فبدل أن يكون Defender حاجزًا أمام البرمجيات الخبيثة، يتحول – عند استغلال هذه الثغرات – إلى بوابة تمنح المهاجم صلاحيات عالية في قلب النظام.
ومن هناك، يمكن للمهاجم تثبيت برامج تجسس، نشر فيروسات فدية (Ransomware)، أو التحرك أفقيًا داخل شبكة المؤسسة للوصول إلى خوادم وبيانات حساسة.
مايكروسوفت تتحرك جزئيًا.. وثغرتان بلا حل
تشير TechCrunch إلى أن مايكروسوفت أصدرت بالفعل تصحيحًا لثغرة BlueHammer ضمن حزمة تحديثات أبريل الأمنية، وأصبحت الثغرة معروفة رسميًا تحت المعرف CVE‑2026‑33825، مع تحديث لمنصة Defender يمنع استغلالها.
لكن في المقابل، ما زالت ثغرتا RedSun وUnDefend من دون تصحيح رسمي حتى وقت نشر التقرير، ما يترك ملايين الأجهزة المعتمدة على Defender في وضع خطر، خاصة في بيئات الشركات التي يصعب فيها تعطيل برنامج الحماية أو استبداله بسرعة.
ما يزيد القلق أن استغلال RedSun – كما تؤكد BleepingComputer – يمكن أن ينجح حتى بعد تثبيت كل تحديثات Patch Tuesday الخاصة بشهر أبريل، طالما لم يصدر تصحيح مخصص لهذه الثغرة بعينها.
يعني هذا أن المؤسسات التي تظن أنها «مؤمّنة» بمجرد تطبيق التحديثات قد تكون ما زالت مكشوفة أمام مهاجم يعرف كيف يستخدم الكود المسرب.
نصائح عاجلة للمؤسسات والمستخدمين
يشدد الخبراء الذين استشهدت بهم TechCrunch وBleepingComputer على أن ترك ثغرات غير مرقّعة في بيئات ويندوز ليس مجرد «مخاطرة نظرية»، بل باب مفتوح أمام اختراق فعلي، كما حدث في حوادث تاريخية مثل WannaCry التي استغلت أنظمة غير محدَّثة. وبناءً على ذلك، توصي الشركات المتخصصة بالخطوات التالية:
التأكد من تثبيت كل تحديثات أبريل 2026، خاصة تلك التي تتعلق بمنصة Microsoft Defender، لسد ثغرة BlueHammer على الأقل.
مراقبة سجلات الأنظمة لرصد أي محاولات لتعطيل Defender أو تغييرات غير معتادة في إعداداته، باعتبارها مؤشرًا محتملًا على استغلال UnDefend أو RedSun.
تقييد صلاحيات المستخدمين قدر الإمكان، بحيث يصعب على مهاجم يبدأ من حساب محدود أن يستغل ثغرات التصعيد للوصول إلى صلاحيات أعلى.
إضافة طبقات حماية إضافية (مثل حلول أمنية من طرف ثالث أو أنظمة كشف التهديدات المتقدمة) وعدم الاعتماد على Defender وحده كخط دفاع وحيد، خاصة في الشبكات الحساسة.
توعية الموظفين بعدم تشغيل أدوات أو سكربتات «اختبار أمان» من مصادر مجهولة، لأن بعضها قد يكون في الحقيقة نسخًا جاهزة من استغلالات هذه الثغرات.
دلالات أوسع على إدارة الثغرات في ويندوز
تسلّط هذه الحادثة الضوء على معضلة قديمة متجددة في عالم الأمن السيبراني: ما الذي يحدث عندما يشعر الباحثون بأن الشركات لا تتعامل بجدية كافية مع بلاغاتهم، فيقررون نشر التفاصيل علنًا؟ TechCrunch تنقل عن منشورات Chaotic Eclipse تعليقات ساخرة وجه فيها «شكرًا كبيرًا» إلى إدارة MSRC على جعل هذه الهجمات ممكنة، في إشارة إلى أن قراره بنشر الأكواد كان «انتقاميًا» بقدر ما هو تحذيري.
في الوقت نفسه، تذكّر تقارير أخرى من TechCrunch وBleepingComputer بأن مايكروسوفت تواجه بالفعل ضغطًا متزايدًا من ثغرات أخرى «يوم صفري» في ويندوز وOffice – مثل CVE‑2026‑21510 في Windows shell – ما يجعل إدارة ملف الأمان أكثر تعقيدًا من أي وقت مضى.
بالنسبة للمؤسسات، الرسالة واضحة: الاعتماد على التحديثات الدورية وحدها لم يعد كافيًا؛ بل يجب تبني استراتيجية شاملة لإدارة الثغرات، تشمل رصدًا استباقيًا، واختبارات اختراق دورية، وخطط استجابة سريعة عندما تنفجر مثل هذه القنابل «الصفرية» في قلب أنظمة الإنتاج.