كشفت منصة TechCrunch عن اختراق قراصنة لعدد من المؤسسات باستخدام ثلاث ثغرات خطيرة تم نشر تفاصيلها على الإنترنت من قبل باحث أمني غاضب من مايكروسوفت خلال الأسبوعين الماضيين.
أشارت شركة الأمن السيبراني Huntress إلى أن المهاجمين استغلوا ثغرات أطلق عليها أسماء BlueHammer وUnDefend وRedSun، وكلها مرتبطة ببرنامج الحماية المدمج Microsoft Defender في أنظمة ويندوز.
الموقف خطير ليس فقط لوجود الثغرات بل لأنها من نوع “يوم صفري” حيث تم نشر كود استغلالها بالكامل على الإنترنت قبل أن تتمكن مايكروسوفت من إغلاقها، مما جعلها هدية مجانية للمهاجمين الذين يبحثون عن نقاط دخول إلى الشبكات.
من تسريب “انتقامي” إلى أداة في يد القراصنة
بدأت القصة في مطلع الشهر عندما نشر باحث يستخدم الاسم المستعار Chaotic Eclipse، المعروف أيضًا باسم Nightmare‑Eclipse، كود استغلال لثغرة في ويندوز Defender على مدونته، مشيرًا إلى خلاف مع فريق استجابة مايكروسوفت لمشاكل الأمان حول طريقة التعامل مع بلاغاته.
لاحقًا، نشر الباحث استغلالين إضافيين لثغرتي UnDefend وRedSun، ووضع الأكواد الثلاثة على GitHub بشكل علني، مما أتاح لأي شخص، بما في ذلك قراصنة الجريمة الإلكترونية، تحميل الكود وتجربته على أنظمة ويندوز.
أكدت Huntress أنها رصدت أولى محاولات استغلال BlueHammer في بيئة حقيقية في العاشر من أبريل، وفي 16 أبريل رصدت استخدامًا متزامنًا لاستغلالات UnDefend وRedSun على جهاز ويندوز تم اختراقه عبر حساب VPN مسروق، في هجوم أظهر نشاطًا يدويًا مباشرًا من المهاجم داخل الشبكة.
باختصار، ما بدأ كاحتجاج من باحث تحول بسرعة إلى أداة فعالة في يد مهاجمين حقيقيين ضد مؤسسات حقيقية.
ما الذي تتيحه هذه الثغرات للمهاجمين؟
توضح BleepingComputer أن الثغرات الثلاث تستهدف مكونات في Microsoft Defender وتسمح باستغلالات خطيرة تتجاوز مجرد تعطيل برنامج الحماية.
BlueHammer: ثغرة تتيح تصعيد الصلاحيات من مستخدم عادي إلى صلاحيات أعلى داخل النظام
RedSun: تعتبر الأخطر حاليًا، حيث تسمح بالحصول على صلاحيات SYSTEM الكاملة على أجهزة ويندوز 10 و11 وويندوز سيرفر 2019 وما بعدها طالما كان Defender مفعّلًا
UnDefend: تُستخدم لتعطيل Microsoft Defender أو إثارة حالة “حرمان من الخدمة” على محرك الحماية، مما يمنع التحديثات ويترك النظام مكشوفًا أمام تهديدات أخرى
هذا النوع من الثغرات يجعل برنامج الحماية نفسه نقطة انطلاق للهجوم، حيث يتحول Defender إلى بوابة تمنح المهاجم صلاحيات عالية داخل النظام، ومن هناك يمكن للمهاجم تثبيت برامج تجسس أو نشر فيروسات فدية أو التحرك داخل شبكة المؤسسة للوصول إلى بيانات حساسة.
مايكروسوفت تتحرك جزئيًا.. وثغرتان بلا حل
تشير TechCrunch إلى أن مايكروسوفت أصدرت تصحيحًا لثغرة BlueHammer ضمن حزمة تحديثات أبريل الأمنية، وأصبحت الثغرة معروفة رسميًا تحت المعرف CVE‑2026‑33825، مع تحديث لمنصة Defender يمنع استغلالها.
لكن على الجانب الآخر، ما زالت ثغرتا RedSun وUnDefend بلا تصحيح رسمي حتى وقت نشر التقرير، مما يترك ملايين الأجهزة المعتمدة على Defender في وضع خطر، خاصة في بيئات الشركات حيث يصعب تعطيل برنامج الحماية أو استبداله بسرعة.
ما يزيد القلق أن استغلال RedSun يمكن أن ينجح حتى بعد تثبيت كل تحديثات Patch Tuesday الخاصة بشهر أبريل، مما يعني أن المؤسسات التي تعتقد أنها مؤمّنة قد تكون لا تزال مكشوفة أمام مهاجم يعرف كيفية استخدام الكود المسرب.
نصائح عاجلة للمؤسسات والمستخدمين
يشدد الخبراء على أن ترك ثغرات غير مرقّعة في بيئات ويندوز ليس مجرد مخاطرة نظرية بل هو باب مفتوح أمام اختراق فعلي، لذا توصي الشركات المتخصصة بالخطوات التالية.
التأكد من تثبيت كل تحديثات أبريل 2026، خاصة تلك المتعلقة بمنصة Microsoft Defender لسد ثغرة BlueHammer على الأقل.
مراقبة سجلات الأنظمة لرصد أي محاولات لتعطيل Defender أو تغييرات غير معتادة في إعداداته.
تقييد صلاحيات المستخدمين قدر الإمكان، بحيث يصعب على أي مهاجم استغلال ثغرات التصعيد للوصول إلى صلاحيات أعلى.
إضافة طبقات حماية إضافية مثل حلول أمنية من طرف ثالث وعدم الاعتماد على Defender وحده.
توعية الموظفين بعدم تشغيل أدوات أو سكربتات “اختبار أمان” من مصادر مجهولة، لأن بعضها قد يكون في الحقيقة نسخًا جاهزة من استغلالات هذه الثغرات.
دلالات أوسع على إدارة الثغرات في ويندوز
تسلط هذه الحادثة الضوء على معضلة قديمة متجددة في عالم الأمن السيبراني، وهي ما يحدث عندما يشعر الباحثون بعدم جدية الشركات في التعامل مع بلاغاتهم، حيث يقررون نشر التفاصيل علنًا.
TechCrunch تنقل عن منشورات Chaotic Eclipse تعليقات ساخرة وجه فيها شكره لإدارة MSRC على جعل هذه الهجمات ممكنة، مما يشير إلى أن قراره بنشر الأكواد كان انتقاميًا بقدر ما هو تحذيري.
في الوقت نفسه، تذكّر تقارير أخرى بأن مايكروسوفت تواجه ضغطًا متزايدًا من ثغرات أخرى “يوم صفري” في ويندوز وOffice، مما يجعل إدارة ملف الأمان أكثر تعقيدًا من أي وقت مضى.
بالنسبة للمؤسسات، الرسالة واضحة: الاعتماد على التحديثات الدورية وحده لم يعد كافيًا، بل يجب تبني استراتيجية شاملة لإدارة الثغرات تشمل رصدًا استباقيًا واختبارات اختراق دورية وخطط استجابة سريعة عند حدوث مثل هذه القنابل “الصفرية” في أنظمة الإنتاج