حذّرت منصة The Hacker News المتخصصة في الأمن السيبراني من أن هناك مهاجمين بدأوا فعلاً في استغلال ثلاث ثغرات خطيرة تُعرف بـ “يوم صفري” في Microsoft Defender، اثنتان منها لا تزالان بلا تصحيح حتى الآن.
باحثو شركة Huntress أشاروا إلى أن هذه الثغرات، التي تحمل أسماء BlueHammer وRedSun وUnDefend، تم نشرها في وقت سابق من أبريل بواسطة باحث مستقل يُعرف باسم Chaotic Eclipse، حيث عبّر عن استيائه من طريقة تعامل مايكروسوفت مع بلاغات الثغرات. Huntress أكدت أنها رصدت استغلال هذه الثغرات في بيئات حقيقية منذ 10 أبريل، حيث تم استخدام BlueHammer أولاً، ثم بدأت استغلالات RedSun وUnDefend في 16 أبريل.
تفاصيل الثغرات
حسب تحليل The Hacker News وتقارير من BleepingComputer وSOCRadar، فإن BlueHammer وRedSun هما ثغرتان من نوع “تصعيد صلاحيات محلي”، مما يسمح للمهاجم الذي لديه وصول محدود إلى جهاز ويندوز بزيادة صلاحياته إلى مستوى أعلى قد يصل إلى SYSTEM. هذا يعني أن من ينجح في استغلالهما يمكنه السيطرة على الجهاز بالكامل، بينما UnDefend تعتبر ثغرة من نوع “حرمان من الخدمة”، يمكن استخدامها لتعطيل عمل Microsoft Defender ومنع تحديثات تعريفات الفيروسات، مما يجعل الجهاز عرضة لتهديدات أخرى.
هذه الثغرات تؤثر على أجهزة ويندوز 10 وويندوز 11 وويندوز سيرفر 2019 وما بعده، بشرط أن يكون Microsoft Defender مفعلًا، وهذا أمر شائع في الشركات التي تعتمد عليه كخط دفاع رئيسي.
إصلاح مايكروسوفت لثغرة BlueHammer
ذكرت The Hacker News أن مايكروسوفت قامت بإصلاح ثغرة BlueHammer ضمن تحديثات Patch Tuesday لشهر أبريل 2026، حيث حصلت الثغرة على المعرّف الرسمي CVE‑2026‑33825 وصُنّفت كثغرة “تصعيد صلاحيات” مهمة. الجهات المعنية أكدت أن تحديث Defender يتم تلقائيًا إلى الإصدار الأخير الذي يعالج المشكلة، دون الحاجة لتدخل المستخدم، طالما أن النظام يحصل على التحديثات بانتظام.
ومع ذلك، لا تزال ثغرتا RedSun وUnDefend بلا تصحيح رسمي حتى الآن، ولا تحملان أرقام CVE، مما يزيد من خطورتهما في ظل توافر شفرات استغلال علنية يمكن لأي مهاجم استخدامها. يُظهر تحليل BleepingComputer أن RedSun تتيح للمهاجم الحصول على صلاحيات SYSTEM على إصدارات حديثة من ويندوز حتى بعد تثبيت تحديثات أبريل، مما يجعل الشركات تحت ضغط لاتخاذ إجراءات تخفيفية.
كيف ظهرت الثغرات إلى العلن؟
تقرير Help Net Security يروي أن الباحث Chaotic Eclipse نشر في 3 أبريل أول استغلال Proof-of-Concept لثغرة BlueHammer بعد أن فشلت محاولاته السابقة للتواصل مع فريق استجابة الأمن في مايكروسوفت. بعد ذلك، نشر استغلالين إضافيين لـRedSun وUnDefend في منتصف الشهر. هذا الأسلوب يُعرف بـ “الإفشاء الكامل”، حيث يُنشر الكود علنًا قبل توفر تصحيح، مما يضع ضغطًا على الشركة المستهدفة لتسريع الإصلاح، ولكنه أيضًا يتيح للمهاجمين استغلال الثغرة في الفترة الفاصلة.
تحليلات SOCRadar أظهرت أن حزم الاستغلال المنشورة على GitHub وX (تويتر سابقًا) تجذب اهتمام مجموعات تهديد مختلفة، بعضها يستخدمها في اختبارات داخلية بينما بدأ آخرون في دمجها في هجمات حقيقية.
نصائح لمستخدمي ويندوز وDefender
الخبراء الذين استشهدت بهم The Hacker News وBleepingComputer ينصحون باتخاذ خطوات عاجلة للحد من المخاطر إلى أن تصدر مايكروسوفت تصحيحات كاملة، مثل التأكد من تثبيت تحديثات أبريل 2026 الأخيرة لنظام ويندوز والتي تتضمن معالجة ثغرة BlueHammer، ومراقبة سجلات Defender لرصد أي سلوك غير معتاد، خاصة محاولات تعطيل خدمة Defender.
في بيئات الشركات، يمكن التفكير في إضافة طبقة حماية إضافية من مزود طرف ثالث، أو تعزيز سياسات التحكم في الصلاحيات لمنع أي مستخدم محدود من تنفيذ أدوات مشبوهة. كما يُنصح بتوعية الفرق الداخلية بعدم تشغيل أدوات أو سكربتات أمان من مصادر غير موثوقة تدّعي “اختبار Defender”.
دلالات أوسع على أمن Defender
حادثة أبريل 2026 تسلط الضوء على نقطة حساسة، عندما تُستغل ثغرة داخل منتج أمني مثل Microsoft Defender، تتحول أداة الحماية نفسها إلى وسيلة للهجوم، مما يجعل تأثيرها أكبر من ثغرة عادية في تطبيق مستخدم. ورغم أن مايكروسوفت تعالج العديد من الثغرات شهريًا، فإن وجود ثلاث ثغرات “يوم صفري” في Defender وحده تم الإفصاح عنها في فترة قصيرة يثير تساؤلات حول عملية الاختبار الداخلي وجودة إدارة بلاغات الثغرات.
الخبراء يذكرون أن الاعتماد الكامل على أداة واحدة لا يكفي، ويجب على الشركات تبني نهج طبقي للأمن، حيث يستخدمون أكثر من مستوى حماية ورقابة، حتى إذا تعثرت إحدى الطبقات، تبقى هناك طبقات أخرى قادرة على كشف الهجوم أو الحد من آثاره.