تقنى

تحذير CISA: ثغرة BlueHammer في Microsoft Defender تُستغل حالياً في هجمات الفدية

محمد مصطفى30/06/2026آخر تحديث: 30/06/2026
دقيقة واحدة
تحذير CISA: ثغرة BlueHammer في Microsoft Defender تُستغل حالياً في هجمات الفدية

أعلنت CISA أن جماعات الفدية تستخدم حالياً ثغرة ترقية امتياز في Microsoft Defender تعرف بـ BlueHammer (CVE-2026-33825). تم تصحيح الثغرة من قبل Microsoft في 14 أبريل 2026 كجزء من تحديثات Patch Tuesday لذلك الشهر.

CISA Says Microsoft Defender BlueHammer Flaw Is Now Used in Ransomware Attacks

المعطيات تشير إلى أن الباحثين الأمنيين أشاروا لاحقاً إلى أن المهاجمين استغلوا الثغرة بالفعل كـ zero-day قبل أن يتاح الإصلاح.

ثغرة BlueHammer تصنّفها Microsoft ضمن فئة عالية الخطورة وتنتج من نقص في دقة تحكم الوصول، مما يسمح لمهاجم محلي معتمد بترقية صلاحياته على نظام Windows المستهدف.

bluehammer ransomware windows 11
Image credit: Microsoft

إدراج الثغرة في قائمة الثغرات المستغلة المعروفة

أضافت CISA CVE-2026-33825 إلى قائمة الثغرات المعروفة المستغلة يوم 22 أبريل، وبعدها تم تحديث الإدراج ليحذر من استخدامها في حملات فدية. وهذا يجعل الثغرة أكثر إلحاحاً للمؤسسات التي لم تقم بتثبيت تحديثات أبريل.

كيف قد يستغل المهاجمون الثغرة

تستلزم BlueHammer وصولاً محلياً، لذا يجب أن يكون للمهاجم وجود سابق على الجهاز. بمجرد الدخول، يمكن أن يساعده الخلل في الوصول إلى صلاحيات أعلى. قال باحث الأمن Will Dormann إن العيب ليس سهلاً في الاستغلال، لكن نجاحه قد يعرض قاعدة بيانات Security Account Manager (SAM) التي تخزن تجزئات كلمات المرور لحسابات Windows المحلية. باستخدام ذلك، يمكن للمهاجم تصعيد صلاحياته إلى SYSTEM، وهو ما يمنحه سيطرة واسعة على الجهاز المصاب، ما يساعد فرق الفدية على تعطيل الدفاعات والتقدم داخل الشبكة أو تجهيز الأنظمة لعملية التشفير.

وذكر Huntress Labs أن بعض الهجمات أظهرت نشاطاً مباشراً على لوحة المفاتيح، وهو دليل على تحكم فعلي في عمليات الاختراق وليس الاعتماد على برامج تلقائية فحسب. كما أشارت تسريبات من Nightmare Eclipse إلى تفاصيل عن الثغرة في أوائل أبريل.

التحديثات والتدابير الموصى بها

أُصدر الإصلاح الرئيسي عبر تحديث Patch Tuesday في 14 أبريل 2026. على المؤسسات التأكد من أن أنظمة Windows المتأثرة قد تلقت التحديث الأمني المعني ب Defender. كما ينبغي على فرق الأمان مراجعة سجلات النقاط النهائية بحثاً عن علامات رفع الامتياز واستخدام حسابات محلية مشبوهة ومحاولات تفريغ أو الوصول إلى تجزئات كلمات المرور. بما أن CISA يربط الثغرة بأنشطة فدية، قد تزداد مخاطر الترقية بعد الاختراق في الأنظمة غير المحدثة.

على الرغم من أن BlueHammer نفسه لا يتيح الاستغلال عن بُعد، إلا أنه يمكن أن يمنح المهاجم صلاحيات تمكنه من السيطرة بعد دخول أولي عبر التصيد أو بيانات اعتماد مسروقة أو الخدمات المكشوفة أو البرمجيات الخبيثة.

الوسوم
محمد مصطفى30/06/2026آخر تحديث: 30/06/2026
دقيقة واحدة
زر الذهاب إلى الأعلى