ثغرات يوم الصفر في ويندوز تُستغل الآن في هجمات حقيقية
ثلاث ثغرات أمنية كُشف عنها أخيرا في ويندوز انتقلت من مرحلة كود إثبات المفهوم إلى هجمات فعلية، بحسب نتائج جديدة من Huntress. وتكمن أهمية ذلك في أن اثنتين من هذه المشكلات لا تزالان بلا تصحيح كامل من مايكروسوفت، بينما جرى إصلاح الثالثة فقط ضمن تحديثات أبريل.
ما الذي يستخدمه المهاجمون
تدور الحملة حول ثلاث تقنيات استغلال نشرها باحث انتقد علنا طريقة مايكروسوفت في التعامل مع الإفصاح الأمني. اثنتان منها تستهدفان Microsoft Defender للحصول على تصعيد محلي للصلاحيات، بينما يمكن استغلال الثالثة لتعطيل تحديثات تعريفات Defender من حساب مستخدم عادي.
وتقول Huntress إنها رصدت التقنيات الثلاث كلها في الهجمات الفعلية. وفي إحدى الحوادث التي تمت ملاحظتها، ظهرت هذه الاستغلالات إلى جانب نشاط مباشر من المهاجم بعد اختراق حساب SSL VPN.
لماذا تُعد هذه قصة أمنية مهمة
التفصيل الأهم ليس فقط أن الشفرة أصبحت علنية، بل أن المهاجمين بدأوا تشغيلها فعليا. إحدى الثغرات، المسجلة تحت CVE-2026-33825 والمعروفة باسم BlueHammer، حصلت على تصحيح. أما الثغرتان الأخريان، المعروفتان عادة باسم RedSun وUnDefend، فما زالتا من دون معالجة كاملة.
وهذا يضع فرق الدفاع في فجوة مزعجة. فحتى المؤسسات التي تطبق تحديثات Patch Tuesday بسرعة قد تبقى معرضة للخطر إذا استغل المهاجمون هذه التقنيات بعد الوصول الأولي، خاصة على الأنظمة التي يعمل فيها Microsoft Defender افتراضيا.
ما الذي ينبغي على المسؤولين فعله الآن
يجب على فرق الأمن التعامل مع هذا الوضع بوصفه خطرا حيا لتصعيد الصلاحيات، لا مجرد تمرين نظري. وتشمل الخطوات العاجلة مراجعة تنبيهات الأجهزة الطرفية الأخيرة، وتشديد الحماية على نقاط الدخول البعيدة مثل حسابات VPN، ومراقبة أي مؤشرات على العبث بـ Defender أو حصول تصعيد غير متوقع إلى SYSTEM.
وإلى أن تطلق مايكروسوفت إصلاحات للمشكلتين المتبقيتين، ستصبح الرؤية الجيدة والاحتواء السريع أكثر أهمية من المعتاد. وبالنسبة لمسؤولي ويندوز، فهذه لحظة يمكن فيها لتقوية الهوية ومراقبة الأجهزة الطرفية أن تمنع اختراقا أعمق بكثير.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source