الأمن السيبراني

BlueHammer (CVE-2026-33825): ثغرة Microsoft Defender التي تُستغل الآن في هجمات الفدية

صنّفت CISA ثغرة BlueHammer (CVE-2026-33825)، وهي ثغرة تصعيد صلاحيات في Microsoft Defender، على أنها مُستغَلّة في هجمات برامج الفدية. إليك ما تفعله الثغرة، وهل أنت محميّ بالتحديث، ولماذا لا يغلقها التحديث وحده بالكامل.

وقاص احمد وسیر
وقاص احمد وسیر 8 يوليو 2026 8 دقائق قراءة
BlueHammer (CVE-2026-33825): ثغرة Microsoft Defender التي تُستغل الآن في هجمات الفدية

حدّثت CISA سجلّها للثغرات المعروفة بأنها مُستغَلّة لتصنيف BlueHammer، المُتتبَّعة تحت الرمز CVE-2026-33825، على أنها باتت تُستخدَم الآن في حملات برامج الفدية. إنها ثغرة تصعيد صلاحيات محلي في Microsoft Defender نفسه: فالمهاجم الذي يملك أصلاً موطئ قدم على جهاز Windows يمكنه إساءة استغلال منطق معالجة الملفات الخاص بـ Defender للتصعيد من مستخدم عادي إلى SYSTEM. إذا كان أسطولك من أجهزة Windows قد تلقّى تحديثات أبريل 2026 فأنت محميّ ضد هذه الثغرة تحديداً، لكن القصة أكثر تعقيداً من مجرد ثغرة CVE واحدة، والحلّ ليس مجرد "حدّث وانسَ الأمر".

الجزء المُقلق هو المكان الذي تكمن فيه الثغرة. فـ BlueHammer تحوّل الأداة التي يُفترض أن تحمي نقطة النهاية إلى الآلية التي تُسلّم نقطة النهاية. وبالنسبة للمدافعين، هذا يقلب افتراضاً معتاداً: فعملية مكافحة الفيروسات التي تعمل بصلاحيات SYSTEM تصبح السلّم الذي يتسلّقه المهاجم، لا الشيء الذي يوقفه.

ما هي ثغرة BlueHammer؟

إن BlueHammer هي ثغرة تصعيد صلاحيات محلي (LPE) في Microsoft Defender Antivirus، وقد خُصّص لها الرمز CVE-2026-33825 بدرجة CVSS تبلغ 7.8. وهي ليست ثغرة استغلال عن بُعد؛ إذ يحتاج المهاجم إلى أن يكون قادراً بالفعل على تشغيل شيفرة على الجهاز بصلاحيات مستخدم منخفض الامتيازات. وما تمنحه له هو الجائزة الكبرى على مضيف واحد: التحكّم على مستوى SYSTEM.

والآلية عبارة عن حالة تسابق من نوع وقت-الفحص إلى وقت-الاستخدام (TOCTOU) في سير عمل المعالجة لدى Defender. وكما يصف التحليل التقني من Picus Security، يزرع الاستغلال ملفاً يُطلِق كشف Defender، ثم يستخدم قفلاً انتهازياً دفعياً (oplock) لتجميد Defender في منتصف العملية، ثم يبدّل وصلة NTFS (junction) أسفل المسار المستهدف بحيث أنه عندما يستأنف Defender عمله ويكتب بصلاحيات SYSTEM الخاصة به، تحطّ الكتابة في مكان اختاره المهاجم. ويُستخدَم ذلك عملياً للوصول إلى فرع سجلّ SAM وسحب تجزئات كلمات مرور NTLM، ما يُمكّن من الاستيلاء على حسابات المسؤول المحلي عبر أسلوب pass-the-hash. لا استغلال للنواة، ولا إفساد للذاكرة، بل مجرد معالجة الملفات المميّزة لـ Defender نفسه وقد انقلبت ضدّه.

إن درجة الخطورة 7.8 (عالية) لا الحرجة تعكس أن الوصول المحلي شرط مسبق. لكن تصعيد الصلاحيات هو تحديداً الخطوة التي تحتاجها عصابات برامج الفدية بعد عملية تصيّد أولية أو بيانات اعتماد مسروقة، وهذا هو السبب في أن تصنيف CISA المتعلّق ببرامج الفدية أهمّ مما توحي به الدرجة الأساسية.

لماذا يُعدّ هذا خبراً الآن

لم تصل BlueHammer عبر القناة المعتادة للإفصاح المنسّق. ففي أوائل أبريل 2026 سرّب باحث يُطلق على نفسه "Nightmare Eclipse" الثغرة إلى جانب شيفرة استغلال عاملة بصيغة إثبات المفهوم (PoC)، وذلك احتجاجاً على ما ذُكر بشأن طريقة تعامل مركز الاستجابة الأمنية لدى Microsoft مع الإفصاح. وقد جعل ذلك منها ثغرة يوم-صفر حقيقية: إذ وُجد استغلال علني ومُسلَّح قبل وجود إصلاح.

وإليك التسلسل الزمني منذ ذلك الحين:

التاريخ (2026)الحدث
أوائل أبريليسرّب "Nightmare Eclipse" الثغرة + شيفرة استغلال PoC علناً
April 14تُطلق Microsoft الإصلاح ضمن Patch Tuesday بوصفه CVE-2026-33825
April 22تضيف CISA الرمز CVE-2026-33825 إلى سجلّ الثغرات المعروفة بأنها مُستغَلّة
أوائل مايوالموعد النهائي للمعالجة الفيدرالية (FCEB) بموجب قاعدة الأسبوعين الخاصة بـ KEV
أواخر يونيوتحدّث CISA مُدخل KEV لتصنيف الثغرة على أنها مُستخدَمة في برامج الفدية

إن تحديث أواخر يونيو هو التطوّر الجديد. فقد صنّفت CISA الآن الرمز CVE-2026-33825 على أنه "معروف بأنه يُستخدَم في حملات برامج الفدية" في سجلّها. والجدير بالذكر أن نشرة Microsoft نفسها لا تزال لا تؤكّد الاستغلال في الواقع العملي، وتصنّف الثغرة على أنها "الاستغلال أكثر ترجيحاً" لا "مُكتشَف" — لذا ثمة فجوة بين ما تراه CISA على المستوى التشغيلي وما ستشهد به الجهة المُصنّعة رسمياً. ولم تُذكَر بعد أي جماعة برامج فدية بعينها علناً.

هل أنت مُعرَّض للخطر؟ كيف تتحقّق

تؤثّر BlueHammer على Microsoft Defender Antivirus في جميع إصدارات سطح المكتب والخوادم المدعومة من Windows — Windows 10 وWindows 11 وWindows Server 2016 و2019 و2022 و2025 — على أي نظام يشغّل منصّة Defender من قبل تحديث أبريل 2026. وفيما يلي فحوصات عملية للمسؤول:

  • تأكّد من تثبيت التحديث التراكمي لأبريل 2026 (أو ما بعده). فالإصلاح الخاص بـ Defender جاء ضمن Patch Tuesday بتاريخ April 14. والأسطول المُحدَّث على التحديثات الشهرية محميّ ضد CVE-2026-33825 تحديداً.
  • تحقّق من إصدار منصّة Defender، لا من رقم بناء نظام التشغيل فحسب. فمنصّة مكافحة البرمجيات الخبيثة ومحرّكها في Defender يُحدَّثان خارج نطاق تحديثات Windows. ويُظهر الأمر Get-MpComputerStatus في PowerShell القيمتين AMProductVersion وAMEngineVersion؛ فتأكّد من أنهما تعكسان إصداراً صادراً بعد أبريل 2026.
  • أعطِ الأولوية للأجهزة التي يعمل عليها المستخدمون بصلاحيات غير مميّزة لكن محلياً. فتصعيد الصلاحيات المحلي (LPE) لا يهمّ إلا حيث يستطيع المهاجم بالفعل تنفيذ شيفرة كمستخدم عادي — ومحطّات العمل المشتركة ومضيفات RDP/VDI وأجهزة المطوّرين هي الأهداف الأعلى قيمة هنا.
  • قارِن الموعد النهائي لـ KEV إذا كنت مؤسسة فيدرالية أو مُلزَمة بعقد. فمهلة BOD 22-01 المتعلّقة بهذه الثغرة قد انقضت بالفعل في أوائل مايو؛ وأي مضيف غير مُحدَّث الآن يمثّل مشكلة أمنية ومشكلة امتثال في آنٍ معاً.

إذا لم تستطع تأكيد حالة التحديث عبر مجموعتك بسرعة، فإن سدّ تلك الفجوة يستحقّ أن يتمّ هذا الأسبوع. وينطبق الانضباط نفسه كلّ شهر — فتقريرنا حول Patch Tuesday لشهر يونيو 2026 وثغرات اليوم-الصفري الستّ فيه تذكير بمدى سرعة تجدّد قائمة الثغرات المُستغَلّة في الواقع العملي.

المصيدة: تحديث BlueHammer لا يغلق الثغرة بأكملها

إليك التفصيل الذي تتجاهله معظم التغطيات المُركّزة على ثغرة CVE واحدة. لقد وصلت BlueHammer مصحوبةً بأشقّاء. فقد وثّق باحثون أمنيون أسلوبَي إساءة استغلال مرتبطَين ارتباطاً وثيقاً بـ Defender — RedSun وUnDefend — وهما يُستخدَمان في الواقع العملي إلى جانبها، وهما لا يزولان جميعاً بتحديث أبريل.

  • RedSun تستخدم العائلة نفسها من الحِيَل (واجهة Cloud Files API، والأقفال oplocks، ووصلات الدلائل junctions) لكنها تستهدف خدمة مختلفة هي TieringEngineService.exe، وتستدرج محرّك الوقت الفعلي لـ Defender بسلسلة اختبار EICAR مضمّنة لإطلاق دورة معالجة تُعيد توجيهها بعد ذلك. والأهمّ أنه ذُكر أن RedSun لا تزال تعمل على أنظمة Windows 10 و11 وServer 2019+ المُحدَّثة بالكامل حتى بعد تحديثات أبريل.
  • UnDefend ليست استغلالاً لتصعيد الصلاحيات على الإطلاق. فهي تُضعِف تدريجياً دقّة الكشف لدى Defender عبر التدخّل في آلية تحديث التعريفات لديه — وهي خطوة هادئة لما بعد الاستغلال هدفها إعماء نقطة النهاية قبل المرحلة التالية.

والخلاصة: تحديث CVE-2026-33825 ضروري لكنه غير كافٍ. فالنمط الكامن — إساءة استغلال عمليات الملفات لوكيل أمني يتمتّع بصلاحيات SYSTEM عبر الوصلات (junctions) والأقفال (oplocks) — هو فئة من الأساليب، وهذه الفئة ليست مُحدَّثة بالكامل. وهذه هي الحجّة لصالح الكشف السلوكي فوق التحديث.

ما الذي ينبغي فعله فعلاً

حدّث أولاً، ثم أضِف كشفاً للأسلوب لا للبصمة الواحدة. واستناداً إلى المؤشّرات السلوكية التي نشرها الباحثون، راقِب في نظام EDR/SIEM لديك ما يلي:

  • عمليات كتابة على مستوى SYSTEM غير متوقّعة داخل دلائل قابلة للكتابة من قبل المستخدم، ولا سيّما عقب عمليات ملفات منسوبة إلى Defender.
  • إنشاء وصلات NTFS / نقاط إعادة تحليل الدلائل (directory-reparse-point) بواسطة عمليات غير مُخوَّلة بصلاحيات المسؤول في مسارات يعالجها Defender.
  • قمع تحديثات Defender أو انخفاضات مفاجئة في حداثة التعريفات عبر نقاط النهاية — وهي بصمة محتملة لـ UnDefend.
  • الاستطلاع الكلاسيكي السابق للتصعيد مثل whoami /priv من جلسات غير مميّزة قُبيل نشاط متعلّق بـ Defender مباشرة.

ولأن جوهر هذه الفئة من الثغرات هو أن المهاجم يملك أصلاً موطئ قدم محلياً، فإنها تعزّز أيضاً الحجّة لتقليص ما يمكن أن تصل إليه نقطة نهاية واحدة مُخترَقة. فتجزئة الشبكة وضوابط الوصول القائمة على الهوية أولاً تحدّان من نطاق الانفجار الناجم عن استيلاء بصلاحيات SYSTEM — وهو المنطق نفسه وراء الابتعاد عن الشبكات المسطّحة الذي تناولناه في Zero Trust مقابل VPN في 2026. وإذا بدا لك هذا مألوفاً، فهو الشكل نفسه لثغرات الجذر المحلي الأخرى في 2026 مثل ثغرة نواة Linux المسمّاة Bad Epoll: المحيط الخارجي يصمد، لكن الجهاز الذي يعمل تحت شيفرة المهاجم يبعد بدائية واحدة عن السيطرة الكاملة.

الأسئلة الشائعة

ما هي ثغرة CVE-2026-33825 (BlueHammer)؟

هي ثغرة تصعيد صلاحيات محلي في Microsoft Defender Antivirus، بدرجة CVSS تبلغ 7.8. فعبر إساءة استغلال حالة تسابق TOCTOU في منطق معالجة الملفات لدى Defender (باستخدام الأقفال oplocks ووصلات NTFS junctions)، يستطيع مهاجم منخفض الصلاحيات إعادة توجيه عمليات الكتابة التي يجريها Defender بمستوى SYSTEM والتصعيد إلى SYSTEM، ثم في نهاية المطاف سحب تجزئات NTLM من قاعدة بيانات SAM.

هل تُستغَلّ BlueHammer في هجمات برامج الفدية؟

حدّثت CISA سجلّها للثغرات المعروفة بأنها مُستغَلّة لتصنيف CVE-2026-33825 على أنه مُستخدَم في حملات برامج الفدية. ولم تؤكّد نشرة Microsoft رسمياً الاستغلال في الواقع العملي، وهي تصنّفه على أنه "الاستغلال أكثر ترجيحاً". ولم تُذكَر أي جماعة برامج فدية بعينها علناً.

هل يوجد تحديث لثغرة BlueHammer؟

نعم. فقد أصلحت Microsoft الرمز CVE-2026-33825 في Patch Tuesday بتاريخ April 14, 2026. وأي نظام Windows يعمل على منصّة Defender الخاصة بأبريل 2026 أو ما بعدها محميّ ضد هذه الثغرة تحديداً. وتأكّد من كلٍّ من التحديث التراكمي لنظام التشغيل وإصدار منصّة مكافحة البرمجيات الخبيثة في Defender.

هل يحميني التحديث بالكامل من هجمات Defender هذه؟

ليس تماماً. فالأساليب المرتبطة الموثّقة إلى جانب BlueHammer — ولا سيّما RedSun — ذُكر أنها لا تزال تعمل على أنظمة مُحدَّثة بالكامل، كما أن UnDefend تُضعِف كشف Defender بدلاً من تصعيد الصلاحيات. حدّث، ثم أضِف كشفاً سلوكياً لإساءة استغلال الوصلات/الأقفال (junction/oplock) وعمليات كتابة SYSTEM غير المتوقّعة.

من المتأثّر بثغرة CVE-2026-33825؟

إن Microsoft Defender Antivirus على Windows 10 وWindows 11 وWindows Server 2016 و2019 و2022 و2025، على أي مضيف يشغّل منصّة Defender سابقة لأبريل 2026. ولأنها تتطلّب تنفيذ شيفرة محلياً، فإن محطّات العمل المشتركة ومضيفات RDP/VDI وأجهزة المطوّرين هي الأهداف ذات الأولوية القصوى.

المصادر

وقاص احمد وسیر

وقاص احمد وسیر

وقاص احمد وسیر مطوّر ومهندس أتمتة بخبرة تزيد على 8 سنوات في بناء أنظمة إنتاجية يستخدمها أكثر من 100 ألف شخص. يبني تطبيقات SaaS متعددة المستأجرين، وأتمتة بالذكاء الاصطناعي (n8n، تدفقات LLM، بوتات واتساب)، وبنية استضافة (WHM/cPanel، CloudLinux) — وهو صانع WaSphere وFlowMaticX وعلامة الاستضافة WaseerHost. أنجز أكثر من 100 مشروع لشركات صغيرة ومتوسطة ووكالات وشركات ناشئة ممولة.

ذات صلة

المزيد في الأمن السيبراني

عرض الكل
ثغرة تنفيذ التعليمات البرمجية عن بُعد غير المُصلّحة في Argo CD تتيح للمهاجمين السيطرة على عناقيد Kubernetes (2026)
الأمن السيبراني

ثغرة تنفيذ التعليمات البرمجية عن بُعد غير المُصلّحة في Argo CD تتيح للمهاجمين السيطرة على عناقيد Kubernetes (2026)

ثغرة أمنية جديدة كُشف عنها في repo-server التابع لـ Argo CD تمنح المهاجمين غير المُوثّقين تنفيذًا للتعليمات البرمجية عن بُعد وطريقًا للسيطرة الكاملة على عنقود Kubernetes. لا يوجد تصحيح ولا معرّف CVE، وإليك كيف يعمل الهجوم وكيف تُحكم إغلاقه اليوم.

وقاص احمد وسیر8 دقائق قراءة
CVE-2026-8037: ثغرة RCE حرجة قبل المصادقة تضرب Progress Kemp LoadMaster (رقّع الآن)
الأمن السيبراني

CVE-2026-8037: ثغرة RCE حرجة قبل المصادقة تضرب Progress Kemp LoadMaster (رقّع الآن)

CVE-2026-8037 ثغرة حرجة (CVSS 9.8) لتنفيذ التعليمات البرمجية عن بُعد قبل المصادقة في Progress Kemp LoadMaster، تمنح المهاجمين صلاحيات الجذر عبر طلب API واحد. نُشرت أداة استغلال علنية في 29 يونيو — إليك من المتأثرون وكيفية الترقيع.

وقاص احمد وسیر7 دقائق قراءة

النقاش · 0

كن لطيفًا. التعليقات علنية.

    النشرة البريدية · إصدار الاثنين

    ملخّص الاثنين.

    بريد واحد كل صباح اثنين. الأسبوع المقبل في الذكاء الاصطناعي والشركات الناشئة والاستضافة وأدوات المطوّرين — بلا حشو، وبلا إعلانات مموّهة.

    مجاني. يمكنك إلغاء الاشتراك بنقرة واحدة.