أعلن المركز البلجيكي للأمن السيبراني (CCB) عن رصد استغلال فعلي لثغرة أمنية خطيرة في نظام التشغيل Windows تحمل المعرف CVE-2026-41089، وذلك في تحذير عاجل وجّهه المركز إلى المؤسسات والشركات العاملة في بلجيكا وخارجها. ويأتي هذا التحذير بعد أسابيع قليلة من إصدار مايكروسوفت التصحيح الرسمي لهذه الثغرة ضمن حزمة تحديثات Patch Tuesday لشهر مايو 2026، مما يكشف أن شريحة واسعة من المستخدمين والمؤسسات لم تطبق التحديثات بعد.
طبيعة الثغرة وآلية الاستغلال
تتمحور الثغرة حول ما يُعرف تقنياً بـ”تجاوز سعة المكدس” (Stack-Based Buffer Overflow) في مكوّن Windows Netlogon، وهو بروتوكول أساسي في بيئات Windows يُستخدم للتحقق من هوية المستخدمين وأجهزة الحاسوب داخل شبكات المجال (Domain Networks)، ويضطلع بدور محوري في عمليات تسجيل الدخول والمصادقة على مستوى المؤسسة بأكملها.
وتجاوز سعة المكدس نوع من أخطر الثغرات البرمجية، إذ يحدث حين تُكتب بيانات تتخطى الحجم المخصص لها في ذاكرة المكدس، مما يتيح للمهاجم الكتابة فوق مناطق ذاكرة حساسة والتحكم في مسار تنفيذ البرنامج. والأخطر في هذه الحالة أن الثغرة تتيح تنفيذ أكواد خبيثة عن بُعد عبر الشبكة دون أن يكون المهاجم مصادقاً عليه مسبقاً، مما يعني إمكانية الاختراق دون الحاجة إلى أي بيانات دخول أو صلاحيات.
وفي الوقت الراهن، لا تتوفر تفاصيل علنية كافية حول الأساليب التقنية الدقيقة التي يعتمدها المهاجمون في استغلال هذه الثغرة ميدانياً، وهو أمر مقصود في كثير من الأحيان لتقليص الفرصة المتاحة أمام جهات خبيثة أخرى للاستفادة من هذه التفاصيل قبل انتشار التصحيحات.
أهمية Netlogon وحساسية الاستهداف
لا يمكن فهم حجم الخطر دون استيعاب الدور الذي يؤديه بروتوكول Netlogon في البيئات المؤسسية. فهذا البروتوكول هو العمود الفقري لعمليات المصادقة في شبكات Active Directory التي تعتمدها مئات الآلاف من الشركات والحكومات حول العالم. ومن يتمكن من اختراقه قادر نظرياً على انتحال هويات مستخدمين وأجهزة، والتحرك بحرية داخل الشبكة المؤسسية، والوصول إلى موارد وبيانات حساسة للغاية.
وليس هذا أول مرة يكون فيها Netlogon في قلب أزمة سيبرانية كبرى؛ ففي عام 2020 هزّت العالم ثغرة “Zerologon” التي حملت درجة خطورة قصوى 10 من 10، وأتاحت للمهاجمين السيطرة الكاملة على متحكمات المجال في غضون ثوانٍ معدودة، وسارع إليها المهاجمون من جهات حكومية وإجرامية على حد سواء قبل أن تتدخل مايكروسوفت بتصحيح طارئ. هذا السياق يجعل أي ثغرة جديدة في Netlogon ذات أولوية قصوى في سُلّم التعامل مع المخاطر الأمنية.
حجم التحديث الأمني لشهر مايو 2026
جاء تصحيح CVE-2026-41089 ضمن حزمة Patch Tuesday لشهر مايو 2026 التي شملت معالجة 138 ثغرة أمنية في منتجات مايكروسوفت المختلفة، في دليل على الوتيرة المتسارعة لاكتشاف المخاطر الأمنية في المنتجات البرمجية الأكثر انتشاراً في العالم. ويُذكّر هذا المشهد بضرورة الالتزام بتطبيق التحديثات الدورية فور إصدارها، لا سيما حين تتضمن تصحيحات لمكونات بالغة الحساسية كـ Netlogon.
وتكشف الإحصاءات المتراكمة أن الفجوة الزمنية بين إصدار التصحيح واكتشاف الاستغلال الفعلي باتت تضيق باستمرار، وأن بعض الجهات التهديدية تبدأ في هندسة أدوات الاستغلال فور إعلان التصحيح، بل إن نشر تفاصيل الثغرة عبر النشرات الأمنية الرسمية يُعدّ نقطة انطلاق لهذه الجهات لفهم موضع الخلل واستغلاله ضد المؤسسات التي تتأخر في التحديث.
ما الذي ينبغي فعله الآن
على المؤسسات التي تشغّل بيئات Windows المبنية على Active Directory التحرك فوراً للتحقق من تطبيق تحديثات مايو 2026، مع إيلاء عناية خاصة لمتحكمات المجال (Domain Controllers) التي يعمل عليها Netlogon بصورة مكثفة. كما يُنصح بمراقبة سجلات الشبكة بحثاً عن أي نشاط غير اعتيادي يستهدف مكونات المصادقة، ورفع مستوى التنبه في مراكز العمليات الأمنية خلال الأسابيع القادمة ريثما يتضح النطاق الكامل للتهديد.
