3 ثغرات تضرب Microsoft Defender.. واثنتان منها بلا إصلاح حتى الآن

حذّرت منصة الأمن السيبراني The Hacker News من أن مهاجمين بدأوا بالفعل في استغلال ثلاث ثغرات «يوم صفري» (Zero‑Day) خطيرة في Microsoft Defender، اثنتان منها ما زالتا بدون تصحيح أمني حتى لحظة نشر التقرير.

وأوضح باحثو شركة Huntress أن هذه الثغرات، المعروفة بأسماء BlueHammer وRedSun وUnDefend، نُشرت علنًا في وقت سابق من أبريل على يد باحث مستقل يستخدم الاسم المستعار Chaotic Eclipse (المعروف أيضًا باسم Nightmare‑Eclipse)، احتجاجًا على طريقة تعامل مايكروسوفت مع بلاغات الثغرات. 

وتؤكد Huntress أنها رصدت استغلالًا فعليًا للثلاث ثغرات في بيئات حقيقية منذ 10 أبريل، مع استخدام BlueHammer أولًا، ثم ظهور استغلالات RedSun وUnDefend في 16 أبريل.

ما هي BlueHammer وRedSun وUnDefend؟

بحسب تحليل The Hacker News وتقارير مساندة من BleepingComputer وSOCRadar، تعد BlueHammer وRedSun ثغرتين من نوع «تصعيد صلاحيات محلي» (Local Privilege Escalation)، تسمحان للمهاجم الذي يمتلك وصولًا محدودًا إلى جهاز ويندوز برفع صلاحياته إلى مستوى أعلى قد يصل إلى SYSTEM على الأنظمة المصابة. 

هذا يعني أن من ينجح في استغلالهما يمكنه فعليًا السيطرة على الجهاز بالكامل، تثبيت برمجيات خبيثة، أو تعطيل وسائل الحماية الأخرى. أما ثغرة UnDefend فهي من نوع «حرمان من الخدمة» (Denial‑of‑Service)، يمكن استخدامها لتعطيل عمل Microsoft Defender ومنع تحديثات تعريفات الفيروسات، ما يترك الجهاز مكشوفًا أمام تهديدات أخرى.

وتؤثر هذه الثغرات على أجهزة ويندوز 10 وويندوز 11 وويندوز سيرفر 2019 وما بعده، بشرط أن يكون Microsoft Defender مُفعَّلًا، وهي حالة شائعة في بيئات الشركات التي تعتمد عليه كخط دفاع رئيسي مدمج في النظام.

مايكروسوفت تصلح BlueHammer.. وتترك اثنتين معلّقتين

أشارت The Hacker News إلى أن مايكروسوفت تحركت لإصلاح ثغرة BlueHammer ضمن حزمة تحديثات Patch Tuesday لشهر أبريل 2026، حيث حصلت الثغرة على المعرّف الرسمي CVE‑2026‑33825 وصُنّفت كثغرة «تصعيد صلاحيات» مهمة في منصة مكافحة البرمجيات الخبيثة الخاصة بـDefender.

وأكدت جهات مثل المركز البلجيكي للأمن السيبراني أن تحديث منصّة Defender يتم تلقائيًا إلى الإصدار الأخير الذي يعالج المشكلة، دون حاجة المستخدم للتدخل اليدوي، طالما أن النظام يحصل على التحديثات بانتظام. 

في المقابل، لا تزال ثغرتا RedSun وUnDefend بدون تصحيح رسمي حتى الآن، ولا تحملان بعد أرقام CVE عامة، ما يزيد من خطورتهما في ظل توافر شفرات استغلال علنية يُمكن لأي مهاجم تحميلها واستخدامها.

وتوضح BleepingComputer أن RedSun، على وجه الخصوص، تتيح للمهاجم الحصول على صلاحيات SYSTEM على إصدارات حديثة من ويندوز حتى بعد تثبيت تحديثات أبريل، ما يضع الشركات تحت ضغط إضافي لاتخاذ إجراءات تخفيفية مؤقتة.

كيف ظهرت هذه الثغرات إلى العلن؟

يروي تقرير Help Net Security أن الباحث Chaotic Eclipse نشر في 3 أبريل أول استغلال Proof‑of‑Concept لثغرة BlueHammer بعدما ادعى أن محاولاته السابقة للتواصل مع فريق استجابة الأمن في مايكروسوفت (MSRC) لم تسفر عن نتيجة مرضية، ثم عاد لاحقًا وأطلق استغلالين إضافيين لـRedSun وUnDefend في منتصف الشهر. 

هذا الأسلوب يُعرف باسم «الإفشاء الكامل» (Full Disclosure)، حيث يُنشر الكود علنًا قبل توفر تصحيح، ما يضع ضغطًا على الشركة المستهدَفة لتسريع الإصلاح، لكنه في الوقت نفسه يتيح للمهاجمين استغلال الثغرة في الفترة الفاصلة. 

وتُظهر تحليلات SOCRadar أن حزم الاستغلال المنشورة على GitHub وX (تويتر سابقًا) تجذب بالفعل اهتمام مجموعات تهديد مختلفة، بعضها يستخدمها في اختبارات داخلية وأخرى بدأت في دمجها في سلاسل هجوم حقيقية.

ماذا يجب على مستخدمي ويندوز وDefender فعله الآن؟

ينصح الخبراء الذين استشهدت بهم The Hacker News وBleepingComputer باتخاذ مجموعة من الخطوات العاجلة للحد من المخاطر إلى أن تصدر مايكروسوفت تصحيحات كاملة:

التأكد من تثبيت تحديثات أبريل 2026 الأخيرة لنظام ويندوز، والتي تتضمن معالجة ثغرة BlueHammer (CVE‑2026‑33825) عبر تحديث منصة Defender إلى الإصدار 4.18.26050.3011 أو أحدث.

مراقبة سجلات Defender وأنظمة المراقبة الأمنية (SIEM) لرصد أي سلوك غير معتاد، خاصة محاولات تعطيل خدمة Defender أو تعطيل تحديثات التواقيع.

في بيئات الشركات، يمكن التفكير – بشكل مؤقت – في إضافة طبقة حماية إضافية من مزود طرف ثالث، أو تعزيز سياسات التحكم في الصلاحيات لمنع أي مستخدم محدود من تنفيذ أدوات مشبوهة يمكن أن تستغل الثغرات.

توعية الفرق الداخلية بعدم تشغيل أدوات أو سكربتات أمان من مصادر غير موثوقة تدّعي «اختبار Defender»، لأن بعض هذه الأدوات قد تكون نسخًا معدّلة من استغلالات BlueHammer أو RedSun أو UnDefend.

دلالات أوسع على أمن Defender

تلفت Zero Day Initiative وغيرها من منصات تحليل الثغرات إلى أن حادثة أبريل 2026 تسلط الضوء على نقطة حساسة: عندما تُستغل ثغرة داخل منتج أمني مثل Microsoft Defender، تتحول أداة الحماية نفسها إلى وسيلة للهجوم، ما يجعل تأثيرها أكبر من ثغرة عادية في تطبيق مستخدم. 

ورغم أن مايكروسوفت تعالج عشرات الثغرات شهريًا ضمن تحديثات ويندوز، فإن وجود ثلاث ثغرات «يوم صفري» في Defender وحده تم الإفصاح عنها في فترة زمنية قصيرة يثير تساؤلات حول عملية الاختبار الداخلي وجودة إدارة بلاغات الثغرات. 

في الوقت نفسه، يذكّر الخبراء بأن الاعتماد الكامل على أداة واحدة لا يكفي؛ إذ يجب على الشركات تبني نهج طبقي للأمن (Defense‑in‑Depth)، يستخدم أكثر من مستوى حماية ورقابة، حتى إذا تعثرت إحدى الطبقات – كما حدث مع Defender – تبقى هناك طبقات أخرى قادرة على كشف الهجوم أو الحد من آثاره.