عندما يهاجم المدافعون: كيف يحوّل القراصنة أمن ويندوز إلى سلاح

العنوان الفرعي: تستغلّ ثغرات علنية آليات Microsoft Defender الموثوقة وتحرفها لتصبح أدوات لرفع الامتيازات والتخريب الخفي.

تخيّل أن أفضل حارس شخصي لديك ينقلب عليك فجأة - ويستخدم مفاتيح منزلك وأكواد الإنذار الخاصة بك ضدك. هذا بالضبط ما يحدث للمؤسسات التي تعتمد على Microsoft Defender، بعدما اكتشف مجرمو الإنترنت طرقًا لقلب هذه المنصة الأمنية الموثوقة على نطاق واسع إلى أداة هجوم شديدة الفاعلية. ومع تداول ثلاث ثغرات استغلال جديدة على الإنترنت، بات بإمكان مهاجمين بمهارات متوسطة اختطاف عمليات Defender ذات الامتيازات العالية للحصول على وصول SYSTEM أو شلّ دفاعات نقاط النهاية بصمت - وغالبًا بأكثر من مجرد نقل ملف بذكاء.

حقائق سريعة

ثلاثة استغلالات علنية - BlueHammer وRedSun وUnDefend - تستهدف وظائف التنظيف والتحديث ذات الامتيازات العالية في Microsoft Defender.
يمكن للمهاجمين رفع الامتيازات إلى SYSTEM أو تعطيل كشف التهديدات في Defender تدريجيًا دون إثارة الإنذارات.
استغلال واحد فقط (BlueHammer) تم تصحيحه حاليًا من قبل Microsoft؛ بينما يظل RedSun وUnDefend دون تخفيف.
جميع الاستغلالات تتطلب وصولًا محليًا، لكن موطئ القدم الأولي يُكتسب عادة عبر حسابات VPN مخترقة تفتقر إلى المصادقة متعددة العوامل.
تسيء الاستغلالات استخدام حالات السباق وعيوب الثقة في آليات تعامل Defender مع الملفات والتحديثات.

بدأت القصة عندما نشر باحث أمني يُعرف باسم Nightmare-Eclipse شيفرة إثبات مفهوم (PoC) لثلاث ثغرات مختلفة، محبطًا مما قال إنه استجابة باهتة من Microsoft لبلاغ سري. الأكثر شهرة بينها، BlueHammer، استهدف خللًا (CVE-2026-33825) في عملية تحديث تواقيع Defender. ومن خلال استغلال حالة سباق، يستطيع المهاجمون إعادة توجيه معالجة Defender للملفات إلى مواقع يختارونها - مانحين أنفسهم امتيازات بمستوى SYSTEM دون الحاجة إلى كسر النواة أو استغلال الذاكرة.

أصدرت Microsoft بسرعة تصحيحًا لـ BlueHammer ضمن تحديثها الأمني لشهر أبريل، لكن إثباتي المفهوم الآخرين - RedSun وUnDefend - لا يزالان تهديدين قائمين. يستفيد RedSun من حالة سباق مشابهة، هذه المرة في TieringEngineService.exe الخاص بـ Defender، وهي عملية مسؤولة عن تصنيف الملفات المشبوهة. ومن خلال إغراء Defender بسلسلة اختبار EICAR الشائعة، يخدع المهاجمون النظام لتنفيذ شيفرة خبيثة بصلاحيات SYSTEM. أما UnDefend، فهو فريق التنظيف: بعد أن يحصل المهاجمون على وصول SYSTEM، يستخدمون UnDefend لتجويع Defender من التحديثات بهدوء، ما يضعف كشفه للتهديدات بمرور الوقت بينما يمنح المسؤولين إحساسًا زائفًا بالأمان.

رصدت شركات أمنية مثل Huntress Labs وVectra.ai هذه الاستغلالات في هجمات مستهدفة، حيث يقوم الخصوم يدويًا بتهيئة الملفات التنفيذية في مجلدات غير لافتة مثل Pictures وDownloads، غالبًا تحت أسماء باهتة أو مُموّهة قليلًا. العتبة التقنية منخفضة على نحو مفاجئ؛ والتحدي الحقيقي أمام المهاجمين هو ببساطة الحصول على وصول أولي - وغالبًا عبر بيانات اعتماد VPN مسروقة مع مصادقة متعددة العوامل ضعيفة أو غير موجودة.

يحذّر الخبراء من أن هذه الهجمات تكشف مشكلات نظامية أعمق في حدود الثقة وسير العمل ذي الامتيازات العالية داخل Defender. يقول جاستن هاو من Vectra: «عندما يتلاعب المهاجمون بسير عمله ذي الامتيازات العالية، يصبح آلية توصيل». المشكلة الجوهرية؟ إن Defender، في سعيه للحماية، يثق غالبًا بعملياته الخاصة أكثر مما ينبغي - فيفشل في التحقق من مسارات الملفات والعمليات الحرجة في لحظة التنفيذ.

الدرس للمدافعين واضح: طبّقوا التصحيحات فورًا، وافرِضوا المصادقة متعددة العوامل في كل مكان، وراقبوا النشاط المشبوه في الأدلة القابلة للكتابة من قبل المستخدم. ومع تحويل المهاجمين أفضل دفاعاتنا ضدنا، يصبح الخط الفاصل بين الحامي والمفترس رقيقًا على نحو خطير.

WIKICROOK

إثبات: إثبات المفهوم (PoC) هو عرض يبيّن أن ثغرة في الأمن السيبراني يمكن استغلالها، ما يساعد على التحقق من المخاطر الحقيقية وتقييمها.
SYSTEM: النظام هو مجموعة من العتاد والبرمجيات والشبكات تعمل معًا. في الأمن السيبراني، يحول حماية الأنظمة دون الوصول غير المصرح به وتسرب البيانات.
حالة سباق: حالة السباق هي خلل يحدث عندما تتسبب إجراءات متزامنة من عمليات متعددة في أخطاء غير متوقعة أو ثغرات في أنظمة البرمجيات.
المعالجة: تعني المعالجة اتخاذ خطوات لإصلاح التهديدات الأمنية أو احتوائها، مثل إزالة البرمجيات الخبيثة أو حظر المستخدمين غير المصرح لهم، لاستعادة سلامة النظام.
المصادقة متعددة العوامل (MFA): المصادقة متعددة العوامل (MFA) هي طريقة أمنية تتطلب من المستخدمين تقديم دليلين أو أكثر على الهوية قبل الوصول إلى حساب.