ثغرات Windows Defender تُستغل بالفعل في هجمات واقعية

الثغرات المنشورة في Windows Defender تُستخدم الآن في الهجمات

قالت شركة الأمن السيبراني Huntress إن مجموعة من الثغرات الأمنية في Windows نُشرت عبر الإنترنت على يد باحث في وقت سابق من هذا الشهر قد استُخدمت بالفعل في عملية اختراق واقعية واحدة على الأقل. ويحوّل هذا التطور ما كان إفصاحًا عامًا عن ثغرة إلى خطر تشغيلي مباشر على المؤسسات التي تعتمد على Microsoft Defender ولم تطبق بعد الإصلاحات المتاحة أو الضوابط التعويضية.

قالت Huntress إن المهاجمين يستغلون ثلاث ثغرات معروفة باسم BlueHammer وUnDefend وRedSun. ومن بين هذه الثغرات، لم تقم Microsoft حتى الآن إلا بتصحيح BlueHammer، بعدما طرحت الشركة إصلاحًا في وقت سابق من هذا الأسبوع. أما المشكلات المتبقية، كما ورد في النص المصدر المرفق، فلا تزال تترك قدرًا من عدم اليقين بشأن مدى تعرض بعض المؤسسات إذا كانت تعتمد على الحماية الافتراضية أو غير المعدلة في Defender.

كما تؤكد هذه الحادثة توترًا قديمًا في أمن الحاسوب: فالإفصاح العلني قد يضغط على الشركات الموردة للاستجابة بسرعة أكبر، لكن نشر شيفرة استغلال تفصيلية قبل انتشار التصحيحات على نطاق واسع يمكن أن يخفض فورًا العائق أمام الجهات الخبيثة. وفي هذه الحالة، أفاد TechCrunch بأن نشاط الاستغلال يبدو أنه يستخدم شيفرة نشرها باحث يعمل تحت اسم Chaotic Eclipse.

كيف دخلت الثغرات إلى المجال العام

وفقًا للنص المصدر، نشر Chaotic Eclipse أولًا شيفرة قال إنها تستغل ثغرة غير مصححة في Windows، مع الإشارة إلى الإحباط من طريقة تعامل Microsoft مع المشكلة. وبعد أيام، نشر الباحث مواد استغلال إضافية لكل من UnDefend وRedSun، بما في ذلك شيفرة مستضافة على GitHub. وتؤثر الثغرات الثلاث كلها في Microsoft Defender ويمكن أن تسمح للمهاجم بالحصول على صلاحيات مرتفعة على مستوى المسؤول في نظام Windows مستهدف.

تكتسب هذه التسلسلات أهمية لأن نشر الاستغلال يغيّر بيئة التهديد بسرعة. فبمجرد أن تصبح الشيفرة العاملة علنية، لم يعد المهاجمون بحاجة إلى اكتشاف الخلل بأنفسهم أو بناء أدواتهم من الصفر. يمكنهم تكييف المواد المنشورة وأتمتتها واختبارها ضد الأنظمة المكشوفة بسرعة.

ولا يحدد النص المصدر المؤسسة الضحية، ولا يسمّي الجهة المهددة المسؤولة. لكن غياب الإسناد لا يقلل من أهمية القضية. عمليًا، أصبح لدى المدافعين الآن دليل مؤكد على أن مهاجمين انتهازيين أو موجّهين يتصرفون بناءً على هذه الإفصاحات.

News

أفادت تقارير بأن Sequoia Capital جمعت نحو 7 مليارات دولار لصندوق توسع جديد، ما يبرز كيف يعيد ازدهار الذكاء الاصطناعي تشكيل استثمارات رأس المال المغامر في المراحل المتأخرة في الولايات المتحدة وأوروبا.

DT Editorial AI·Apr 17, 2026·via techcrunch.com

News

بعد سنوات من التأخير وتبدل الشراكات والاضطراب الجيوسياسي، باتت لدى أول مهمة أوروبية لمسبار مريخي الآن مركبة إطلاق مؤكدة: صاروخ «فالكون هيفي» التابع لـ SpaceX، مع استهداف الإقلاع في أواخر عام 2028.

DT Editorial AI·Apr 17, 2026·via arstechnica.com

News

كشفت Lucasfilm عن الإعلان التشويقي النهائي لفيلم The Mandalorian and Grogu في CinemaCon، معتمدة على استعراض Star Wars المألوف والشخصيات الراسخة وجاذبية Grogu الواسعة قبل طرح الفيلم.

DT Editorial AI·Apr 17, 2026·via arstechnica.com

لماذا تُعد الثغرات المتعلقة بـ Defender حساسة بشكل خاص

تشغل منتجات الأمن موقعًا متميزًا داخل الأنظمة المؤسسية. وغالبًا ما تعمل أدوات مكافحة الفيروسات وحماية نقاط النهاية مع رؤية عميقة للملفات والذاكرة والعمليات وسلوك نظام التشغيل. هذه القدرة على الوصول هي ما يسمح لها باكتشاف التهديدات وحظرها، لكنها تعني أيضًا أن نقاط الضعف داخل طبقة الأمن قد تصبح ذات قيمة استثنائية للمهاجمين.

إذا أمكن استخدام خلل في Defender للحصول على وصول عالي المستوى أو تعطيل الحماية أو مساعدة البرمجيات الخبيثة على البقاء داخل النظام، فإن المهاجم لا يتجاوز مجرد ضابط واحد. بل قد يقوّض البرنامج الذي تعتمد عليه كثير من المؤسسات بوصفه آلية دفاع أساسية. وهذا يخلق خطرًا لاحقًا أكبر من المعتاد، خصوصًا في البيئات التي ينتشر فيها Defender على نطاق واسع ويُعتمد عليه مركزيًا.

يشير النص المصدر إلى أن الثغرات الثلاث كلها تؤثر في Defender ويمكن أن تتيح وصولًا مرتفع الصلاحيات. وحتى من دون تفاصيل تقنية إضافية، فهذا يكفي لتوضيح سبب جذب شيفرة الاستغلال العامة اهتمامًا فوريًا من فرق الأمن والمهاجمين على حد سواء.

ماذا يعني هذا للمؤسسات الآن

أهم نتيجة على المدى القريب هي أن هذه لم تعد ثغرات نظرية. فقد تعرضت مؤسسة واحدة على الأقل للاختراق بالفعل باستخدام الثغرات المنشورة. وهذا ينقل الأولوية من متابعة الخبر إلى التعامل معه بوصفه مشكلة نشطة في إدارة التعرض.

ينبغي لفرق الأمن التي تستخدم Microsoft Defender التحقق مما إذا كانت تصحيحات BlueHammer قد طُبقت، ومراجعة تنبيهات Microsoft للحصول على أحدث الإرشادات، والتدقيق في الأنظمة بحثًا عن مؤشرات على تصعيد غير معتاد للصلاحيات أو العبث بـ Defender. وبما أن شيفرة استغلال عامة متورطة، ينبغي للمؤسسات أيضًا افتراض احتمال نشاط المقلدين.

كما توجد عبرة أوسع لقادة الأمن المؤسسي. فلا يمكن قياس القوة الدفاعية فقط بالاعتماد على الأدوات المثبتة. بل تعتمد أيضًا على سرعة تصحيح الموردين، وسرعة نشر المؤسسات للتحديثات، وما إذا كانت الفرق قادرة على اكتشاف إساءة الاستخدام عندما تصبح برمجيات الحماية نفسها جزءًا من مسار الهجوم.

القصة المباشرة تتعلق بثلاث ثغرات في Windows واختراق واحد مؤكّد. أما القصة الأكبر فهي مدى سرعة انتقال القدرة الهجومية الآن من منشور باحث على مدونة إلى الاستخدام التشغيلي. وفي مثل هذه البيئة، تصبح مدة التأخير في تثبيت التصحيحات، والرؤية لسلوك نقاط النهاية، والاستجابة المنضبطة للحوادث أكثر أهمية من أي وقت مضى.