ثغرة CVE-2026-42897 تضرب خوادم Microsoft Exchange عبر بريد مفخخ

مقدمة تحليلية

بدرجة خطورة تصل إلى 8.1 وفقاً لمقياس CVSS، أطلقت شركة Microsoft تحذيراً عاجلاً بشأن استغلال نشط لثغرة أمنية جديدة تحمل الرقم CVE-2026-42897، تستهدف النسخ المحلية (On-Premises) من خوادم Exchange Server. لا يقتصر التهديد على مجرد وجود خلل برمجي، بل أكدت مايكروسوفت أن الثغرة قيد الاستغلال الفعلي في البرية (In the Wild)، مما دفع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إدراجها فوراً في كتالوج الثغرات المستغلة المعروفة (KEV) بتاريخ 15 مايو 2026. المثير للقلق هو أن الثغرة يتم تفعيلها عبر آلية بسيطة وهي رسائل البريد الإلكتروني المصممة بعناية، مما يجعلها سلاحاً فتاكاً في أيدي جماعات التجسس السيبراني وبرمجيات الفدية التي تبحث عن موطئ قدم أولي داخل الشبكات المؤسسية.

التحليل التقني

تُصنف الثغرة CVE-2026-42897 على أنها خلل في "ارتحال المدخلات" يؤدي إلى هجوم عبر المواقع (Cross-Site Scripting - XSS). تكمن المشكلة في فشل الخادم في معالجة المدخلات بشكل صحيح أثناء توليد صفحات الويب، مما يسمح للمهاجم غير المصرح له بتنفيذ عملية انتحال (Spoofing) عبر الشبكة. تبدأ دورة الهجوم بإرسال بريد إلكتروني "مفخخ" إلى الضحية؛ وعندما يقوم المستخدم بفتح هذا البريد عبر واجهة Outlook Web Access (OWA)، وتحت ظروف تفاعل معينة، يتم تنفيذ كود JavaScript عشوائي في سياق متصفح الويب الخاص بالمستخدم. وتشمل النسخ المتأثرة بالثغرة ما يلي:

• خادم Exchange Server 2016 (بكافة مستويات التحديث).
• خادم Exchange Server 2019 (بكافة مستويات التحديث).
• خادم Exchange Server Subscription Edition (SE) (بكافة مستويات التحديث).

أكدت Microsoft أن خدمة Exchange Online السحابية غير متأثرة بهذا الخلل. وللمعالجة، توفر الشركة حلاً مؤقتاً عبر خدمة التخفيف الطارئة (Exchange Emergency Mitigation Service) التي تقوم تلقائياً بتهيئة إعادة كتابة الروابط (URL rewrite). أما بالنسبة للخوادم التي تعمل في بيئات معزولة (Air-gapped)، فيجب على المسؤولين استخدام أداة التخفيف الموحدة (EOMT.ps1) وتشغيل الأوامر التالية عبر Exchange Management Shell (EMS):

• لخادم واحد: .\EOMT.ps1 -CVE 'CVE-2026-42897'
• لكافة الخوادم: Get-ExchangeServer | Where-Object { $_.ServerRole -ne 'Edge' } | .\EOMT.ps1 -CVE 'CVE-2026-42897'

يُذكر أن هناك خطأً تقنياً "شكلياً" قد يظهر للمسؤولين عند تطبيق الأداة، حيث تفيد الرسالة بأن التخفيف غير صالح لهذا الإصدار، إلا أن Microsoft أكدت أن التخفيف يُطبق بنجاح إذا ظهرت الحالة 'Applied'.

السياق وتأثير السوق

يأتي الكشف عن CVE-2026-42897 في وقت حرج حيث تعاني المؤسسات التي لا تزال تعتمد على البنية التحتية المحلية من ضغوط أمنية متزايدة. تاريخياً، كانت خوادم Exchange هدفاً استراتيجياً لهجمات معقدة مثل ProxyLogon وProxyShell، نظراً لأن هذه الخوادم تمتلك صلاحيات واسعة داخل نطاق Active Directory. إدراج CISA لهذه الثغرة في كتالوج KEV يضع ضغطاً تنظيمياً هائلاً على الوكالات الفيدرالية والشركات المتعاقدة معها، حيث تم تحديد موعد نهائي هو 29 مايو 2026 لتطبيق الإصلاحات. السوق الآن يشهد انقساماً؛ فبينما تدفع Microsoft المستخدمين نحو السحابة (Exchange Online) كحل جذري للمشاكل الأمنية، تظل العديد من القطاعات الحساسة مثل الدفاع والخدمات الحكومية والخدمات المالية مقيدة بالنسخ المحلية لأسباب تتعلق بالسيادة على البيانات. هذا الاستغلال الجديد يعزز الحجة الداعية للهجرة السحابية، لكنه في الوقت ذاته يسلط الضوء على الفجوة الأمنية في النسخ المحلية التي يبدو أنها تتلقى حلولاً ترقيعية طارئة بدلاً من معالجات جذرية.

رؤية Glitch4Techs

من وجهة نظر Glitch4Techs، نرى أن هذه الثغرة تعكس نمطاً مستمراً من نقاط الضعف في بروتوكولات معالجة واجهة OWA. النقطة الأكثر إثارة للقلق ليست فقط في الثغرة نفسها، بل في "الظروف التفاعلية" التي ذكرتها Microsoft؛ فهذه العبارة غالباً ما تعني أن المهاجم يحتاج فقط إلى دفع المستخدم للقيام بحدث بسيط مثل النقر على رابط أو معاينة مرفق، وهو أمر سهل التحقيق عبر تقنيات الهندسة الاجتماعية المتقدمة. نتوقع أن يتم دمج هذا الاستغلال في أدوات الوصول الأولي (Initial Access Brokers) خلال الأسابيع القليلة القادمة. كما ننتقد بوضوح وجود أخطاء "شكلية" في أدوات التخفيف (كما في حالة رسالة الخطأ Cosmetic error)، حيث أن مثل هذه التناقضات تزرع الشك لدى مسؤولي النظام وتؤخر سرعة الاستجابة للحوادث. نصيحتنا التقنية هي تفعيل خدمة التخفيف الطارئة فوراً وعدم انتظار التحديث الأمني الدائم، مع مراقبة سجلات الوصول إلى OWA بحثاً عن أي طلبات غير اعتيادية تحتوي على أكواد Script مدمجة في الروابط.