ثغرات صفرية نشطة بـ Defender تمنح المخترقين صلاحيات SYSTEM

مقدمة تحليلية

في خطوة تعكس تسارع وتيرة التهديدات السيبرانية وتطور أساليب المهاجمين، أطلقت شركة Microsoft تحديثات أمنية طارئة لمعالجة ثغرتين صفريتين (Zero-day) تم استغلالهما بنشاط في الميدان لاستهداف نظام الحماية الافتراضي Microsoft Defender. لا تكمن خطورة هاتين الثغرتين في مجرد كونهما عيوباً برمجية تقليدية، بل في حقيقة استهدافهما لخط الدفاع الأول الأكثر انتشاراً في بيئات تشغيل Windows على مستوى العالم. هذا الاستهداف المباشر لأدوات الحماية يعيد إلى الأذهان حقيقة تقنية مقلقة: أن البرمجيات المصممة لحماية الأنظمة غالباً ما تكون هي نفسها بوابات الاختراق الأكثر خطورة إذا ما تم التلاعب بآليات عملها الداخلية. وقد أدى اكتشاف هذه الثغرات إلى استنفار فوري في الأوساط الأمنية الحكومية، حيث سارعت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإضافة الثغرتين إلى كتالوج الثغرات المستغلة المعروفة (KEV)، وألزمت جميع الوكالات الفيدرالية والشركاء بتطبيق الترقيعات اللازمة في غضون أسبوعين فقط، وتحديداً قبل الثالث من يونيو 2026. هذا التدخل السريع يوضح أن التهديد يتجاوز مجرد سيناريوهات نظرية، إلى وجود حملات هجومية منظمة تستغل هذه الثغرات لفرض سيطرة كاملة على الأنظمة المستهدفة أو شل حركتها الدفاعية تماماً. إن حقيقة تشغيل Microsoft Defender بصلاحيات كاملة على مستوى النواة ونظام التشغيل تجعل من أي ثغرة أمنية داخله سلاحاً فتاكاً في أيدي المهاجمين. فبدلاً من محاولة الالتفاف على جدران الحماية، يقوم المهاجمون باستخدام هذه الثغرات لإجبار محرك الدفاع نفسه على تنفيذ أوامر خبيثة أو منحهم أعلى درجات التحكم المتاحة داخل بيئة التشغيل، مما يلغي فعالية أي آليات مراقبة أو رصد سيبراني أخرى.

التحليل التقني

للإحاطة بأبعاد هذا التهديد، يجب تفكيك الآليات البرمجية التي تستند إليها الثغرتان ومستويات تأثيرهما على البنية التحتية لنظام Windows:

ثغرة رفع الصلاحيات CVE-2026-41091

تستهدف هذه الثغرة محرك الحماية من البرمجيات الضارة (Microsoft Malware Protection Engine) وتحديداً الإصدارات 1.1.26030.3008 وما قبلها. يمثل هذا المحرك القلب النابض لعمليات الفحص، الكشف، والتنظيف لجميع حلول مكافحة الفيروسات وبرامج التجسس التابعة لشركة Microsoft. تندرج الثغرة تحت فئة ضعف معالجة الروابط البرمجية قبل الوصول إلى الملفات والمعروفة تقنياً باسم (Link Following) أو (CWE-59). تحدث هذه المشكلة عندما يفشل المحرك في التحقق بشكل صحيح من الروابط الرمزية (Symbolic Links) أو الروابط الصلبة (Hard Links) أثناء عمليات الفحص التلقائي التي يجريها بصلاحيات SYSTEM العالية. يستطيع المهاجم المحلي، الذي يمتلك بالفعل صلاحيات مستخدم منخفضة على النظام، إنشاء رابط رمزي يشير من مجلد يمتلك صلاحيات الكتابة فيه إلى ملف نظام حساس ومحمي. وعندما يقوم محرك الحماية بفحص هذا الرابط، فإنه يتبع المسار دون التحقق من هوية المنشئ، مما يسمح للمهاجم باستغلال صلاحيات SYSTEM الممنوحة للمحرك لتعديل الملفات الحساسة، أو استبدالها، أو تشغيل تعليمات برمجية خبيثة بصلاحيات الإدارة الكاملة، وهو ما يعني السيطرة التامة على الجهاز الضحية. تم معالجة هذا الخلل في الإصدار رقم 1.1.26040.8 من المحرك.

ثغرة الحرمان من الخدمة CVE-2026-45498

تؤثر هذه الثغرة على منصة مكافحة الفيروسات (Microsoft Defender Antimalware Platform) في الإصدارات 4.18.26030.3011 وما قبلها. ولا تقتصر هذه المنصة على حماية Windows Defender القياسي فقط، بل تمتد لتشمل حزمة من الأدوات المؤسسية الحيوية مثل:

• نظام System Center Endpoint Protection
• برنامج System Center 2012 R2 Endpoint Protection
• أداة System Center 2012 Endpoint Protection
• حزمة Microsoft Security Essentials

يتيح استغلال هذه الثغرة بنجاح للمهاجمين الخارجيين أو المحليين إحداث حالة من "الحرمان من الخدمة" (Denial-of-Service - DoS) على الأجهزة غير المرقعة. يتم ذلك من خلال إرسال ملفات مصممة خصيصاً أو استدعاءات برمجية تتسبب في انهيار مفاجئ ومستمر لخدمة الحماية، مما يؤدي إلى إيقاف الفحص الفوري وحماية الوقت الفعلي (Real-time Protection). الخطورة هنا تكمن في أن تعطيل منصة الحماية يترك النظام مكشوفاً تماماً أمام برمجيات خبيثة أخرى أو برامج فدية (Ransomware) يمكن نشرها لاحقاً دون أي مقاومة من نظام التشغيل. وقد تم إصدار المنصة ذات الرقم 4.18.26040.7 لعلاج هذه الثغرة.

السياق وتأثير السوق

تأتي هذه الهجمات لتسلط الضوء مجدداً على معضلة أمنية تاريخية تواجه مطوري برمجيات مكافحة الفيروسات؛ حيث تتطلب هذه البرمجيات وصولاً عميقاً جداً لنواة النظام (Kernel) لقراءة كافة البيانات وفحص الذاكرة. هذا الوصول العميق يجعلها هدفاً مفضلاً وجذاباً للغاية لمجموعات التهديد المتقدمة المستمرة (APTs). وإذا ألقينا نظرة على المشهد الأوسع، نجد أن استهداف محركات الحماية ليس بالأمر الجديد، بل هو تكرار لسيناريوهات سابقة استهدفت منصات رائدة أخرى مثل Trend Micro Apex One و Palo Alto Networks، والتي واجهت ثغرات صفرية مماثلة تم استغلالها قبل ترقيعها. من الناحية التجارية والاستراتيجية، تفرض هذه الحوادث ضغوطاً هائلة على مدراء تكنولوجيا المعلومات (CIOs) ومدراء أمن المعلومات (CISOs) في المؤسسات الكبرى. إن الاضطرار إلى التحقق من سلامة وتحديث برامج الحماية على آلاف الأجهزة والخوادم في وقت قياسي يمثل عبئاً لوجستياً كبيراً، خاصة في الشبكات المعزولة تقنياً أو تلك التي تعتمد على خوادم التحديث الداخلي (WSUS) بدلاً من التحديث السحابي المباشر. كما أن صدور توجيهات صارمة من وكالات مثل CISA تحت بند التوجيه التشغيلي الملزم (BOD 22-01) يجبر المؤسسات على إعادة ترتيب أولويات التشغيل لتفادي العقوبات أو التعرض لاختراقات مدمرة. علاوة على ذلك، يتزامن هذا الكشف مع الكشف عن ثغرات صفرية أخرى في بيئات Windows مثل ثغرة YellowKey الخاصة بنظام التشفير BitLocker، مما يشير إلى تركيز مكثف من قبل مطوري أدوات الاختراق على المكونات الأمنية الأساسية لنظام التشغيل الأكثر استخداماً عالمياً.

رؤية Glitch4Techs

من منظورنا التحليلي في Glitch4Techs، نرى أن هذه الاختراقات تثبت فشل المفهوم القائم على الاعتماد الكلي على حارس أمني واحد (Monolithic Security Point). عندما يصبح خط الدفاع الأخير هو نفسه وسيلة الاختراق، فإن استراتيجية الدفاع السيبراني بأكملها تصبح تحت مجهر المراجعة. إن فكرة أن "الإعدادات الافتراضية ستقوم بالتحديث التلقائي وبالتالي لا داعي للقلق" هي فرضية خطيرة في بيئات العمل الحساسة؛ فالعديد من الأنظمة الصناعية والطبية وشبكات المراقبة تعمل في بيئات معزولة (Air-gapped) ولا تتلقى هذه التحديثات التلقائية بشكل فوري. نحن نتوقع تصاعداً ملحوظاً في الهجمات التي تستهدف محركات الفحص والتحليل في المستقبل القريب، لكونها تتعامل باستمرار مع مدخلات غير موثوقة (ملفات مجهولة، حزم بيانات مشبوهة) وتقوم بفك تشفيرها وقراءتها بصلاحيات مرتفعة. للتخفيف من هذه المخاطر، نوصي المؤسسات باتخاذ الخطوات التالية بصرامة وبصورة فورية:

• التحقق اليدوي المستمر من أرقام إصدارات منصة الحماية (Antimalware Client Version) والمحرك للتأكد من تجاوزها للإصدارات المصابة.
• تطبيق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) ومنع المستخدمين العاديين من القدرة على إنشاء روابط رمزية داخل المجلدات المشتركة.
• تبني نهج الدفاع متعدد الطبقات (Defense-in-Depth) بحيث لا يؤدي سقوط أو تعطيل برنامج الحماية الافتراضي إلى انكشاف كامل الشبكة، بل يكون هناك أنظمة رصد سلوكية مستقلة وجدران حماية على مستوى الشبكة قادرة على عزل الأجهزة المصابة فوراً.

إن الموثوقية المطلقة في أدوات الأمان هي ثغرة بحد ذاتها، والوعي التقني والتحقق المستمر هما السلاح الحقيقي الوحيد في هذه المواجهة المستمرة.