في تطور مقلق يستدعي تنبه المختصين في أمن المعلومات، حذّرت شركة Huntress الأمنية من أن جهات تهديد نشطة تستغل ثلاث ثغرات أمنية خطيرة تم الكشف عنها مؤخراً في برنامج Microsoft Defender، وذلك للحصول على صلاحيات مرتفعة على الأنظمة المخترقة، في وقت لا تزال فيه اثنتان من هذه الثغرات دون إصلاح حتى لحظة كتابة هذا التقرير.
ثلاث ثغرات من يد باحث واحد رداً على تجاهل مايكروسوفت
تحمل الثغرات الثلاث أسماء رمزية هي BlueHammer وRedSun وUnDefend، وقد أُفرج عنها جميعاً بوصفها ثغرات يوم الصفر على يد باحث أمني يُعرف بـ Chaotic Eclipse المعروف أيضاً بـ Nightmare-Eclipse، وذلك في سياق احتجاجي صريح على أسلوب مايكروسوفت في التعامل مع عمليات الإفصاح عن الثغرات الأمنية. ويُجسّد هذا التصرف نمطاً متكرراً في مجتمع الأمن السيبراني، حيث يلجأ بعض الباحثين إلى النشر العلني حين يشعرون بأن الشركات الكبرى لا تُولي بلاغاتهم الاهتمام الكافي أو تتأخر في معالجتها.
من حيث الطبيعة التقنية، تنتمي كل من BlueHammer وRedSun إلى فئة ثغرات رفع الصلاحيات المحلية Local Privilege Escalation، وهي نوع من الثغرات يُمكّن المهاجمين الذين تمكّنوا بالفعل من الوصول الأولي إلى نظام ما من توسيع صلاحياتهم والتحكم الكامل فيه. أما UnDefend فتختلف طبيعتها، إذ تُتيح استدعاء حالة رفض الخدمة وتعطيل تحديثات قاعدة بيانات تعريفات الفيروسات في Defender بشكل فعّال، مما يعني أن المهاجم يستطيع استخدامها لتعمية البرنامج الأمني وإيقاف قدرته على التعرف على التهديدات الجديدة.
مايكروسوفت أصلحت واحدة فقط ضمن تحديث الثلاثاء
استجابت مايكروسوفت جزئياً لهذه التهديدات بمعالجة ثغرة BlueHammer ضمن حزمة تحديثات Patch Tuesday الأسبوعية التي أصدرتها في وقت سابق من هذا الأسبوع، وأُدرجت الثغرة تحت المعرف الرسمي CVE-2026-33825. غير أن ثغرتي RedSun وUnDefend لا تزالان دون إصلاح معلن، مما يُبقي الأنظمة المتأثرة في حالة خطر فعلي ومتواصل.
والجدير بالذكر أن مفهوم ثغرات يوم الصفر Zero-Days يُشير إلى الثغرات التي تُستغل في البرية قبل أن يتاح للمصنّع الوقت لإصدار تصحيح أمني لها، مما يجعلها من أخطر أنواع التهديدات السيبرانية، لا سيما حين يقترن ذلك بكود استغلال جاهز متاح للعموم.
استغلال موثّق في البرية منذ العاشر من أبريل
رصدت Huntress استغلالاً فعلياً لجميع الثغرات الثلاث في الميدان، وأفادت بأن BlueHammer دخلت دائرة الاستغلال النشط منذ 10 أبريل 2026، في حين جرى توظيف أكواد الاستغلال التجريبية لكل من RedSun وUnDefend اعتباراً من 16 أبريل. وأوضحت الشركة أن المهاجمين استخدموا سلسلة من أوامر الاستطلاع النموذجية قبل تفعيل الثغرات، من بينها whoami /priv وcmdkey /list وnet group، وهي أوامر تدل بوضوح على وجود مهاجم يتحكم يدوياً في النظام بدلاً من الاعتماد على أدوات آلية، وهو ما يُعرف في الأوساط الأمنية بـ hands-on-keyboard activity، أي النشاط اليدوي المباشر.
وقد أعلنت Huntress أنها اتخذت إجراءات عاجلة لعزل المؤسسة المتضررة والحدّ من امتداد الاختراق، فيما أشارت إلى أنها تواصلت مع مايكروسوفت للاستفسار عن موقفها الرسمي وتوقعات الإصلاح للثغرتين الباقيتين.
يأتي هذا الحادث في سياق يعكس توتراً متصاعداً بين مجتمع باحثي الأمن وكبرى شركات التكنولوجيا حول آليات الإفصاح المنسّق عن الثغرات، وهو نقاش قديم يعود في كل مرة تُكشف فيها ثغرة خطيرة عبر مسار غير رسمي. وفي المحصلة، يبقى المستخدمون والمؤسسات هم من يدفعون ثمن هذا الجدل، إذ تجد أنظمتهم نفسها مكشوفة أمام تهديدات حقيقية في انتظار قرارات تأخذ وقتاً أطول مما ينبغي.
