أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ثغرة BlueHammer إلى قائمة الثغرات المعروفة بأنها مستغلة بشكل نشط، وهي ثغرة في ميكروسوفت ديفندر تسمح بزيادة صلاحيات غير مصرح بها. حددت الوكالة مهلة زمنية تصل إلى السادس من مايو للمؤسسات الحكومية الفيدرالية لإصلاح الثغرة أو التوقف عن استخدام البرمجيات المتأثرة، بعد أن أكد باحثون أن الثغرة تُستخدم بالفعل في الهجمات الحقيقية.
### ما هي ثغرة BlueHammer؟
تُعرف ثغرة BlueHammer بأنها خلل في نظام التحكم في وصول المستخدمين في ميكروسوفت ديفندر، حيث تسمح للمهاجمين غير المصرح لهم بزيادة صلاحياتهم على الجهاز محليًا. تُصنف الثغرة تحت الرقم CVE-2026-33825 وتُعطى درجة خطورة عالية بلغت 7.8 من 10، مما يعكس مدى خطورتها على أنظمة التشغيل.
### كيف تم اكتشافها؟
تم الكشف عن الثغرة لأول مرة في بداية أبريل من قبل باحث أمني يُعرف باسم “Chaotic Eclipse”، الذي نشر تفاصيل الثغرة على مدونته ورافق ذلك بنشر ملف على منصة GitHub. وأوضح الباحث أن الهدف من نشر الثغرة هو لفت انتباه شركة مايكروسوفت إلى الطريقة التي تتعامل بها مع الكشف عن الثغرات، معبرًا عن استيائه من إجراءات الشركة في هذا الصدد.
### رد فعل شركة مايكروسوفت
ردت شركة مايكروسوفت على الكشف بالقول إنها تلتزم بالتحقيق في المشاكل الأمنية المبلغ عنها وتحديث الأجهزة المتأثرة بأسرع وقت ممكن لحماية العملاء. وأكدت الشركة على دعمها لسياسة الكشف المنسق عن الثغرات، التي تساعد على التحقيق الدقيق قبل الإعلان العام، مما يعزز من حماية المستخدمين ويشجع على التعاون مع مجتمع الباحثين الأمنيين.
### تطورات لاحقة
بعد أسبوع، كشف الباحث نفسه عن ثغرة جديدة، أُطلق عليها اسم RedSun، وهي ثغرة تسمح للمهاجمين بالحصول على صلاحيات SYSTEM المحلية في إصدارات ويندوز 10 و11 وخوادم ويندوز، حيث يكون Defender مفعلاً. بالإضافة إلى ذلك، كشف الباحث عن ثغرة ثالثة، تسمى unDefend، والتي يمكن استغلالها من قبل المستخدمين العاديين لتعطيل تحديثات تعريفات ديفندر.
### تأثير الثغرات على الأنظمة
عندما تدرج CISA ثغرة في قائمة الثغرات المعروفة بأنها مستغلة، فهذا يعني أن الأدلة تشير إلى أن الهجمات النشطة تستغل الثغرة في الواقع. ويُطلب من المؤسسات الحكومية الفيدرالية إصلاح الثغرات قبل 6 مايو، حيث تشهد الهجمات الحالية استخدامًا فعليًا لهذه الثغرات، وفقًا لتقرير Huntress Labs.
### تقارير هجمات حقيقية
أشار خبراء Huntress إلى أن الجهات المهاجمة استغلت الثغرات بشكل نشط، وأن النشاطات السيبرانية المرتبطة بها تبدو جزءًا من هجوم أوسع وليس مجرد اختبار تجريبي. وأكدت الشركة رصد وصول مشبوه عبر VPN من نوع FortiGate SSL، مرتبط ببيئة مخترقة، مع مصدر IP يُعتقد أنه من روسيا، بالإضافة إلى وجود بنية تحتية مشبوهة في مناطق أخرى.
### الخلاصة
تُظهر هذه الثغرات مدى أهمية تحديث أنظمة الحماية بشكل مستمر، خاصة مع تزايد الهجمات التي تستهدف الثغرات المعروفة. وتحث الوكالات والشركات على اتخاذ إجراءات فورية لتصحيح الثغرات والحفاظ على أمن البيانات والبنية التحتية الرقمية.
المصدر: Latest from TechRadar
