حذرت وكالة الأمن السيبراني الفيدرالية الأمريكية مؤخرًا من أن برنامج Microsoft Defender، وهو برنامج الأمان المدمج في أنظمة Windows، يواجه ثغرة أمنية خطيرة تم استخدامها في هجمات برامج الفدية. تسمح الثغرة الأمنية، التي تم تتبعها بالرقم CVE-2026-33825 والتي تحمل الاسم الرمزي "BlueHammer"، للمهاجم المعتمد بتصعيد امتيازاته على النظام المتأثر. بمجرد دخول المهاجم إلى شبكة الشركة أو المؤسسة، يكون هذا الامتياز الإضافي كافيًا لتعزيز سلسلة الهجوم بشكل أكبر. وذكرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أنه تم استغلال هذه الثغرة الأمنية في عمليات برامج الفدية، لكنها لم تكشف عن معلومات محددة حول مجموعة الهجوم المعنية.

تم إصدار "BlueHammer" بطريقة غير معتادة في 2 أبريل. كشف باحث يستخدم الاسمين "Chaotic Eclipse" و"Nightmare Eclipse" عن تفاصيل الاستغلال ذات الصلة قبل أن تصدر Microsoft تصحيحًا، مشيرًا إلى عدم الرضا عن الطريقة التي تتعامل بها Microsoft مع تقارير الثغرات الأمنية. يؤدي الكشف المبكر عن تفاصيل الثغرة الأمنية إلى تقصير فترة الإعداد التي عادة ما يكون لدى المدافعين بشكل كبير، مما يسمح للمهاجمين المحتملين بمحاولة استغلال الثغرة الأمنية بسرعة قبل طرح التصحيحات.
أصدرت مايكروسوفت تصحيحًا في 14 أبريل، مشيرة إلى أنه يمكن استخدام الثغرة الأمنية لتصعيد الامتيازات من قبل المستخدمين المعتمدين، وقامت بتحديث الاستشارة الأمنية الرسمية في وقت لاحق من ذلك الشهر، مؤكدة على أن الثغرة الأمنية "من المرجح" أن يتم استغلالها، ولكن لم يتم تأكيد أي هجمات فعلية في ذلك الوقت. يتم توفير الوضع الحقيقي من قبل وكالة أمنية تابعة لجهة خارجية. أفادت شركة الأمن Huntress أن المهاجمين كانوا يستغلون BlueHammer قبل إصدار التصحيح، حيث تعاملوا معه على أنه ثغرة أمنية يوم الصفر.
في 22 أبريل، أضافت CISA CVE-2026-33825 إلى كتالوج الثغرات الأمنية المعروفة (KEV)، مما يشير إلى أنها ثغرة أمنية يتم استغلالها بشكل نشط. وفي تحديث لاحق، أوضحت CISA أنه تم استغلال الثغرة الأمنية في هجمات برامج الفدية. ومع ذلك، لا يوفر كتالوج KEV عادةً مزيدًا من التفاصيل عند تحديث الإدخالات، ولا تصدر المؤسسات إشعارات مستقلة عند تحديد ثغرة أمنية على أنها مرتبطة ببرامج الفدية. وقد تسببت طريقة التحديث "الصامتة" نسبيًا هذه أيضًا في تساؤل بعض ممارسي الأمن، كما أن مساعدتها الفعلية لفرق الدفاع في الخطوط الأمامية في تحديد أولويات إصلاحات الثغرات الأمنية محدودة.
ما يجعل BlueHammer مميزًا ليس فقط قدرته على تمكين تصعيد الامتيازات، ولكن أيضًا وجوده داخل Microsoft Defender، وهو مكون أمان أساسي. غالبًا ما يتم تشغيل Defender، باعتباره برنامج حماية مدمج في Windows، بأذونات أعلى. تعتمد فرق الأمان على هذه الأذونات العالية للحصول على رؤية النظام والتحكم فيه. ومع ذلك، هذا يعني أيضًا أنه بمجرد حدوث ثغرة أمنية في Defender نفسه، قد يكون التأثير أكبر بكثير من تأثير التطبيقات العادية. بمجرد حصول المهاجم على امتيازات أعلى من خلال BlueHammer، سيصبح من الأسهل عليه التحرك بشكل جانبي ونشر برامج الفدية وغيرها من الإجراءات.
لا تزال هناك تفاصيل عامة محدودة حول كيفية استخدام عصابات برامج الفدية المحددة لـ BlueHammer في سلاسل هجماتها. يفتقر كتالوج KEV الخاص بـ CISA إلى تفسيرات متعمقة عندما تتغير حالة الإدخال، ولا تدفع الوكالة بشكل استباقي تحذيرات إضافية عندما يتم تحديث الثغرة الأمنية إلى "هجمات برامج الفدية". وقد دفع عدم تناسق المعلومات هذا بعض خبراء الأمن إلى الاعتقاد بأن المدافعين ما زالوا يفتقرون إلى الدعم الاستخباراتي الشفاف الكافي عند صياغة استراتيجيات العلاج.
ويتم سد هذه الفجوة المعلوماتية جزئياً من خلال جهود القطاع الخاص. أطلقت شركة استخبارات التهديدات GreyNoise أداة مجانية لتتبع التغييرات في كتالوج CISA KEV، بما في ذلك عند تحديد الثغرات الأمنية على أنها مرتبطة باستغلال برامج الفدية. الغرض منه هو مساعدة فرق الأمان على اكتشاف التغييرات في هذه المعلومات المهمة في الوقت المناسب وتسهيل الاستجابات الأسرع في إدارة التصحيح وتقييم المخاطر.
يعكس الجدول الزمني لـ BlueHammer مشكلة طويلة الأمد في تعامل الصناعة مع الثغرات الأمنية في البرامج: في هذه الحالة، تم إصدار تفاصيل الاستغلال قبل التصحيح، وحصل الخصوم على دليل الهجوم التشغيلي قبل أن يتمكن المدافعون من الوصول إلى الإصلاح؛ حتى بعد إصدار التصحيح، غالبًا ما تتخلف المعلومات حول الطرق المحددة التي تم من خلالها استخدام الثغرة الأمنية في سيناريوهات الهجوم الحقيقية، مما يجبر فرق الأمان على اتخاذ قرارات دون صورة كاملة.
بالنسبة للمؤسسات بجميع أنواعها، فإن أي أنظمة لم يتم نشر تصحيحات لها منذ تحديثات أمان Microsoft في أبريل قد تظل معرضة للمخاطر التي ثبت أنها مرتبطة بهجمات برامج الفدية. في سيناريوهات الهجوم المعقدة، غالبًا ما يجمع المهاجمون بين وسائل تقنية متعددة. بمجرد ظهور مثل هذه الثغرات الأمنية لتصعيد الامتيازات ضمن مكونات الأمان الأساسية، قد تتطور محاولة اقتحام صغيرة في الأصل إلى حادث أمني كبير.