ثغرات نشطة في Microsoft Defender تمنح المخترقين صلاحيات SYSTEM كاملة
"ثغرات نشطة في نظام الحماية Microsoft Defender تسمح للمهاجمين برفع الصلاحيات إلى SYSTEM وإحداث شلل أمني. سارعت CISA لإدراجها ضمن الكتالوج الإلزامي للاستجابة السريعة."
مقدمة تحليلية
في خطوة تسلط الضوء مجدداً على المخاطر الكامنة في البرمجيات الأمنية الأساسية، أصدرت شركة Microsoft تحذيراً عاجلاً بشأن ثغرتين أمنيتين تم رصدهما قيد الاستغلال النشط والفعلي في برمجية الحماية الافتراضية Microsoft Defender. ويمثل هذا التطور تهديداً مباشراً للبنية التحتية التقنية للمؤسسات والمستخدمين على حد سواء، بالنظر إلى الانتشار الواسع النطاق لهذا النظام كخط دفاع أول في بيئات Windows المعاصرة.
الخطورة الكبرى تكمن في أن هذه الثغرات لا تتطلب تفاعلاً معقداً من المستخدم النهائي، بل يجري استغلالها بفعالية من قبل مجموعات قرصنة متقدمة لتجاوز آليات الدفاع التقليدية. وبمجرد نجاح المهاجم في استغلال هذه الثغرات، فإنه يحصل على مستويات وصول غير مسبوقة تتيح له التحكم الكامل بالأنظمة المصابة وتخريبها، مما يحول الأداة المخصصة أساساً للحماية إلى بوابة عبور للمخترقين لتنفيذ عملياتهم التخريبية.
يأتي هذا الإعلان الرسمي ليعزز المخاوف المتزايدة بشأن أمان سلاسل التوريد البرمجية والبرمجيات ذات الصلاحيات المرتفعة في أنظمة التشغيل. ففي مايو 2026، وجد مسؤولو الأنظمة والشبكات أنفسهم في سباق محموم مع الزمن للتحقق من تحديث منصات الحماية الخاصة بهم وسد هذه الفجوات الأمنية قبل أن يتم استغلالها لتنفيذ هجمات فدية أو اختراقات واسعة النطاق داخل شبكاتهم الداخلية الحساسة.
التحليل التقني
تتوزع الثغرات المكتشفة على مستويات مختلفة من الخطورة والأثر التقني، حيث تحمل الثغرة الأولى والأنشط رمز CVE-2026-41091 وبتقييم خطورة يصل إلى 7.8 وفقاً لنظام تقييم الثغرات القياسي CVSS. وتكمن المشكلة التقنية هنا في معالجة الروابط غير الصحيحة قبل الوصول إلى الملفات، أو ما يُعرف تقنياً باسم تتبع الروابط (Link Following). يتيح هذا الخلل للمهاجم المحلي الذي يمتلك صلاحيات محدودة على النظام إرسال طلبات مصممة خصيصاً للتلاعب بالملفات وتجاوز القيود الأمنية المفروضة، مما يؤدي في نهاية المطاف إلى ترقية صلاحياته محلياً للحصول على أعلى مستوى من الامتيازات على نظام التشغيل، وهي صلاحيات SYSTEM الكاملة.
أما الثغرة الثانية، فهي CVE-2026-45498، وحصلت على تقييم خطورة يبلغ 4.0 على مقياس CVSS، وهي ثغرة من نوع حجب الخدمة (Denial of Service) تؤثر بشكل مباشر على محرك مكافحة الفيروسات في Microsoft Defender. يؤدي استغلال هذه الثغرة إلى تعطيل كلي أو جزئي لخدمات الحماية، مما يترك النظام مكشوفاً تماماً أمام أي تهديدات برمجية خبيثة أخرى دون وجود خط دفاع نشط لرصدها.
إلى جانب هاتين الثغرتين، كشفت التحديثات عن معالجة خلل ثالث خطير للغاية يحمل رمز CVE-2026-45584 وتقييم خطورة مرتفع يبلغ 8.1. هذا الخلل عبارة عن تجاوز سعة المخزن المؤقت المستند إلى الذاكرة العشوائية (Heap-based buffer overflow)، والذي يمكن استغلاله من قبل مهاجم غير مصرح له لتنفيذ تعليمات برمجية عن بُعد (Remote Code Execution). ورغم عدم وجود أدلة على استغلال هذه الثغرة الأخيرة في البيئات الحية حتى الآن، إلا أن خطورتها التقنية تضعها على رأس أولويات الترقيع الفوري.
عولجت هذه المشكلات التقنية في الإصدارات التالية من محرك مكافحة الفيروسات التابع لشركة Microsoft:
- منصة Microsoft Defender Antimalware Platform إصدار 1.1.26040.8 (الذي يعالج الثغرتين CVE-2026-41091 و CVE-2026-45584).
- منصة Microsoft Defender Antimalware Platform إصدار 4.18.26040.7 (الذي يعالج الثغرة CVE-2026-45498).
لضمان حماية الأنظمة وتحديثها بشكل سليم، يجب على مسؤولي الشبكات اتباع الخطوات التالية يدوياً للتحقق من تنزيل التعريفات بشكل كامل: فتح برنامج Windows Security، ثم الانتقال إلى Virus & threat protection، والضغط على Protection Updates، ثم اختيار Check for updates، وأخيراً الانتقال إلى Settings ثم About لمطابقة رقم إصدار Antimalware Client Version والتأكد من مطابقتها للإصدارات الآمنة.
السياق وتأثير السوق
تشير التحليلات الأمنية المستقلة إلى تداخل هذه الثغرات بشكل كامل مع مشروعي الاختراق المعروفين باسم RedSun و UnDefend، وهما ثغرتان صفريتان (Zero-days) تم الكشف عنهما الشهر الماضي بواسطة الفريق الأمني الشهير Chaotic Eclipse (المعروف أيضاً باسم Nightmare-Eclipse). وقد أكدت شركة Huntress الأمنية رصدها لعمليات استغلال حقيقية لهذه الثغرات في البرية، إلى جانب ثغرة أخرى تُعرف باسم BlueHammer وتحمل رمز CVE-2026-33825، مما يبرز وجود حملة منسقة لاستهداف أدوات الدفاع الافتراضية في أنظمة التشغيل الأكثر استخداماً حول العالم.
وفي استجابة فيدرالية سريعة تعكس خطورة الموقف، قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإضافة CVE-2026-41091 و CVE-2026-45498 إلى كتالوج الثغرات المستغلة المعروفة (KEV)، ملزمةً الوكالات الفيدرالية بضرورة تطبيق التحديثات وتأمين الأنظمة قبل موعد أقصاه 3 يونيو 2026. وتزامن هذا الإجراء مع إضافة ثغرات تاريخية أخرى تعود إلى الأعوام 2008 و2009 و2010 إلى القائمة ذاتها لردع الهجمات التي تستغل الأنظمة القديمة، ومن بينها ثغرات في Internet Explorer و DirectX و Windows Server Service و Adobe Acrobat.
رؤية Glitch4Techs
يرى الفريق التقني في Glitch4Techs أن استهداف البرمجيات الأمنية مثل Microsoft Defender يمثل ذروة التهديد السيبراني الحديث؛ حيث تتحول الأنظمة المصممة للحماية إلى نقاط ضعف قاتلة نظراً لصلاحياتها الواسعة جداً داخل نظام التشغيل. على الرغم من أن التحديثات تتم بشكل تلقائي عبر نظام Windows Update ودون الحاجة لتدخل المستخدم في الغالب، إلا أن الاعتماد الأعمى على الأتمتة قد يكون فخاً خطيراً في البيئات المؤسسية الكبيرة أو الأنظمة المعزولة عن الإنترنت (Air-gapped systems).
نوصي مديري تكنولوجيا المعلومات ومسؤولي الأمن السيبراني بعدم الاكتفاء بالانتظار، بل بتنفيذ عمليات تدقيق نشطة عبر أدوات الإدارة المركزية للتحقق من وصول إصدار Antimalware Client Version إلى النسخ الآمنة المذكورة. إن مرونة المهاجمين في دمج الثغرات القديمة مع الثغرات الصفرية الحديثة تؤكد أن استراتيجية الدفاع السيبراني لا يمكن أن تنجح بالاعتماد على الترقيع الجزئي، بل تتطلب رؤية شاملة لمراقبة سلوك الشبكة واكتشاف أي نشاط مريب فور حدوثه لمنع الهجمات قبل تفاقم أثرها.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.