أداة Microsoft Defender الوقائية نفسها تتصدع تحت الضغط
ثغرتان صفريتا اليوم مستغلتان فعليًا في Defender تحولان حماية الطرفية إلى سطح هجوم، ما يوضح لماذا يجب تحديث أدوات الأمن بالصرامة نفسها التي تُحدَّث بها الأنظمة التي تحميها.
عندما يعثر المهاجمون على خلل في برمجيات حماية الطرفية، لا تعود المشكلة مجرد ملف سيئ أو عملية مارقة. بل تصبح مسألة ثقة. لقد كشفت Microsoft عن ثغرتين صفريتي اليوم في Microsoft Defender، والأهمية الأمنية لذلك يصعب تجاهلها: الأولى مسار لرفع الامتيازات محليًا، والثانية مشكلة حجب خدمة في منصة مكافحة البرمجيات الخبيثة. هذا المزيج قد ينقل جهاز Windows الطرفي من حالة «محمي» إلى «أعمى جزئيًا» أو «مهيمن عليه محليًا» إذا توافرت الظروف الخاطئة.
حقائق سريعة
- CVE-2026-41091 هي ثغرة في Defender مرتبطة بإدارة الروابط بشكل غير صحيح قبل الوصول إلى الملف.
- CVE-2026-45498 تؤثر في منصة مكافحة البرمجيات الخبيثة الخاصة بـ Defender ويمكن أن تسبب حجب الخدمة.
- تم الكشف عن كلتا المشكلتين على أنهما ثغرتان صفريتا اليوم ووُصفتا بأنهما مستغلتان فعليًا في البرية.
- السياق التقني يضع المشكلتين في حزمة الحماية الأساسية الخاصة بـ Microsoft Defender، وليس في ميزة جانبية.
- التحقق من الإصدارات مهم: المعالجة تعتمد على محرك Defender وإصدار المنصة، وليس فقط على إصدار Windows.
لماذا يهم هذا داخل طبقة الحماية
CVE-2026-41091 هي الأخطر بين الثغرتين من منظور المهاجم. ففئة الضعف هذه ترتبط عادةً بأخطاء تتبع الروابط: إذ تقوم البرمجية بحل مسار أو اختصار أو رابط بطريقة لا ينبغي لها القيام بها. عمليًا، قد يتيح ذلك لمهاجم محلي مخوّل توجيه Defender إلى هدف ملف خاطئ، وربما تجاوز حدًّا للامتيازات. هذا ليس نوع الخلل الذي يرغب المدافعون في العثور عليه في برمجية يُفترض أن تتعامل مع الفحص الموثوق وعمليات الملفات.
CVE-2026-45498 مختلفة، لكنها لا تزال مهمة. فحالة حجب الخدمة في منصة مكافحة البرمجيات الخبيثة لا تحتاج إلى تحقيق تنفيذ تعليمات برمجية حتى تصبح مؤثرة. إذا أصبحت طبقة الحماية غير مستقرة أو توقفت عن العمل بصورة طبيعية، فقد يفقد المدافعون مؤقتًا قدرة الفحص أو رؤية المراقبة. وهذا قد يخلق نافذة ضيقة لكنها مفيدة للأنشطة اللاحقة، خصوصًا على الأجهزة الطرفية التي تتعرض أصلًا لضغط.
والدرس الأوسع هو أن أدوات الأمن أهداف عالية القيمة لأنها تعمل قرب نظام الملفات، وتفحص محتوى غير موثوق، وغالبًا ما تعمل ضمن نطاق واسع من الثقة. عندما تفشل هذه المكونات، لا يكون الأثر مجرد تعطل تطبيق واحد؛ بل قد يتحول إلى فجوة في الكشف أو الاحتواء أو التحكم المحلي.
الخلاصة التشغيلية للمدافعين
أكثر استجابة أمانًا هي التحقق الخاص بالمكوّن. يجب فحص منصة مكافحة البرمجيات الخبيثة الخاصة بـ Defender ومحرك الحماية من البرمجيات الخبيثة مباشرةً، لأن مكوّنًا قد يكون قد تم إصلاحه بينما لا يزال آخر متأخرًا. في البيئات التي تستخدم قنوات تحديث مخصصة أو ضوابط طرفية متعددة الطبقات، تكون أرقام الإصدارات أكثر موثوقية من الافتراضات المبنية على إصدار Windows وحده.
حتى وقت كتابة هذا المقال، لم تثبت المعلومات العامة بالكامل مسار الاستغلال الكامل، أو النطاق الدقيق للأنظمة المتأثرة، أو ما إذا كانت الأنظمة اللاحقة قد تأثرت. الأدلة المتاحة تدعم تحليل مخاطر، لا ادعاءً شاملًا بحدوث اختراق عالمي. ومع ذلك، تبقى الرسالة التشغيلية واضحة: برامج الأمن تستحق أولوية في التصحيح لأنها قد تصبح موطئ قدم ونقطة عمياء في آن واحد.
الخلاصة
تذكّرنا هاتان الثغرتان الصفريتان في Defender بأن أكثر جزء حساس في حزمة المؤسسة هو غالبًا الجزء الأكثر ثقة. لا يحتاج المهاجمون دائمًا إلى اختراق الدرع؛ أحيانًا يكفيهم أن يشققوا الدرع نفسه. بالنسبة للمدافعين، يعني ذلك أن طبقة الحماية يجب أن تُراقَب وتُحدَّث وتُتحقق من سلامتها بنفس العجلة المخصصة للخوادم المكشوفة والتطبيقات المواجهة للإنترنت.
TECHCROOK
مفتاح أمان مادي: يضيف مفتاح FIDO2 مادي مصادقة متعددة العوامل مقاومة للتصيد للحسابات المهمة. إنه جهاز بسيط ومتوافر على نطاق واسع ويمكنه تقليل الاعتماد على كلمات المرور وحدها عندما تكون أمنية الطرفية قيد المراجعة. احتفظ بواحد كنسخة احتياطية لتسجيلات دخول المسؤول والبريد الإلكتروني وغيرها من عمليات الدخول الحرجة.
WIKICROOK
- ثغرة صفريّة اليوم: ثغرة يُستغلّها المهاجم قبل توفر إصلاح لها.
- رفع الامتيازات: الحصول على صلاحيات أعلى مما ينبغي للمستخدم.
- حجب الخدمة: تعطيل نظام بحيث لا يستطيع العمل بشكل طبيعي.
- CWE-59: ضعف يتضمن إدارة غير صحيحة للروابط قبل الوصول إلى الملف.
- الثغرات المعروفة المستغلة: قائمة ترتيب أولويات للثغرات التي يجري استغلالها بالفعل في البرية.
