BlueHammer (CVE-2026-33825): دليل تصلّب نقاط النهاية لفرق تقنية المعلومات في الجزائر

النسخة المختصرة لـBlueHammer

في 7 أبريل 2026، نشر باحث أمني علناً إثبات مفهوم (PoC) لثغرة CVE-2026-33825، التي أُطلق عليها اسم «BlueHammer». خلال ثلاثة أيام، رصد Huntress استغلالاً فعلياً في الميدان. أصلحت Microsoft الثغرة عبر تحديث Defender Antimalware Platform بتاريخ 14 أبريل. السيناريو الكابوسي بسيط: مستخدم منخفض الصلاحيات على حاسوب محمول شركاتي جزائري عادي يُحفّز Defender لتنظيف ملف مُصمَّم، ثم يختطف روتين تنظيف Defender نفسه للكتابة فوق ملفات محمية في `C:WindowsSystem32` — ويحصل على صلاحيات SYSTEM على جهاز Windows 10 أو 11 محدَّث بالكامل.

ثغرتان من نوع zero-day مرتبطتان بـDefender، كشف عنهما الباحث نفسه، لا تزالان بلا تصحيح حتى لحظة الكتابة، وفق Help Net Security. هذه ليست حالة استثنائية — إنها فئة من الثغرات في محرّك معالجة الملفات لدى Defender.

لماذا تهمّ BlueHammer نقاط النهاية في الجزائر

تُهيمن Windows 10 و11 على أسطح المكاتب في الشركات الجزائرية؛ وMicrosoft Defender هو الحماية الافتراضية لنقاط النهاية في كثير من المؤسسات التي لم ترخّص أبداً EDR من طرف ثالث. بالنسبة لتلك الفرق، Defender موضع ثقة ضمنية. BlueHammer يقلب هذه الثقة: مستخدم محلي خبيث (أو أي برنامج خبيث حطّ كنقطة ارتكاز منخفضة الصلاحيات) يمكنه تسليح Defender نفسه لرفع صلاحياته إلى SYSTEM.

حقائق تقنية رئيسية من تحليل Picus Security لـBlueHammer:

• فئة الثغرة: حالة تنازع TOCTOU (time-of-check-to-time-of-use) في منطق معالجة الملفات لدى Defender.
• سلسلة الاستغلال: إسقاط ملف يُفعّل الكشف، انتظار بدء Defender للمعالجة، استخدام opportunistic lock (oplock) مجمّع لتجميد العملية، ثم استبدال نقطة junction في NTFS تُحوّل عملية كتابة Defender إلى `C:WindowsSystem32`.
• النتيجة: كتابة عشوائية فوق الملفات بصلاحيات SYSTEM — رفع كامل للامتيازات محلياً.
• CVSS: 7.8 (عالي).

ثغرات رفع الامتيازات محلياً هي النسيج الضام لحوادث برامج الفدية الحديثة: الوصول الأولي يمنحك جلسة مستخدم، وBlueHammer يمنحك أدوات إدارية قادرة على الوصول إلى النطاق. تغطية The Hacker News تُشير إلى أن الثغرات الثلاث المُعلنة في Defender تُستغل فعلياً في الميدان.

دليل تصلّب نقاط النهاية لفرق تقنية المعلومات الجزائرية

يُنشر تصحيح Microsoft تلقائياً عبر آلية التحديث المدمجة في Defender، ما يعني أن معظم نقاط النهاية تتلقاه دون تدخل إداري — لكن «معظم» ليست «كل»، والشبكات الجزائرية مليئة بحواسيب محمولة متقطعة الاتصال وأجهزة ميدانية خارج الشبكة وأنظمة VM قديمة. دليل عملي:

1. التحقق من إصدار Defender Antimalware Platform. تحديث 14 أبريل 2026، كما ذكر Field Effect، يُعالج CVE-2026-33825. نفّذ استعلام PowerShell عبر أسطولك (Get-MpComputerStatus → `AMEngineVersion` و`AMProductVersion`) وتأكد من أن كل نقطة نهاية محدَّثة.
2. استهداف الأجهزة غير المتصلة والكشاكش. الأجهزة التي تقضي أياماً خارج الشبكة (حواسيب هندسة ميدانية، كشاكش فروع، محطات عمل مصانع) هي المتخلفة المعتادة. ادفع التحديث يدوياً عبر المُثبّت المستقل لـMicrosoft Defender أو Intune.
3. تطبيق قواعد Attack Surface Reduction (ASR). قواعد ASR تحجب شروطاً شائعة للـPoC — كتابة محتوى تنفيذي عبر WMI، أبناء Office الذين ينشئون محتوى تنفيذي، وغير ذلك. على الفرق الجزائرية التي لم تُفعّل ASR أن تفعل ذلك الآن؛ فهو مُدرج في تراخيص E3 وDefender for Business.
4. تقييد انتشار المسؤول المحلي. BlueHammer أشد ضرراً حيث يستطيع مستخدم عادي مُخترَق التحرّك جانبياً بصلاحيات SYSTEM. حتى بمعزل عن هذه الثغرة، تطبيق توجيهات Microsoft بإزالة حقوق المسؤول المحلي غير الضرورية عبر الأسطول يُقلّص نطاق أثر ثغرة Defender التالية.
5. تفعيل حماية العبث (tamper protection). تمنع حماية العبث الأدوات الخبيثة من تعطيل Defender أو التلاعب بإعداداته — تحوّط مفيد ضد الاستغلالات التي تحاول تحييد المنتج الذي تستغله.

استعلامات الكشف والصيد

التصحيح يُغلق الثغرة؛ والكشف يلتقط الاستغلال الذي وقع بالفعل. بعض عمليات الصيد التي تستحق التنفيذ:

• نقاط junction NTFS غير معتادة. يعتمد BlueHammer على إنشاء نقطة junction تُحوّل وِجهة كتابة Defender. Sysmon Event ID 1 (إنشاء عملية) مع `mklink /J` في سطر الأوامر على حسابات غير إدارية هو أمر مشبوه.
• عمليات تكتب داخل System32 بصلاحيات SYSTEM لكن تحت عمليات أم منخفضة الصلاحيات. اربط أحداث Sysmon 1 و11 لرصد إنشاءات ملفات شاذة في `C:WindowsSystem32` بأب غير متوقع.
• إعادة تشغيل خدمة Defender مقرونة بنشاط oplock. الاستغلالات المستمرة كثيراً ما تُعطّل خدمة Defender أو تُعيد تشغيلها بشكل غير متوقع.

تحليل CrowdStrike لـPatch Tuesday أبريل 2026 يتضمن إرشادات كشف أوسع على دفعة Patch Tuesday، وهو مفيد للفرق التي تُشغّل CrowdStrike Falcon إلى جانب Defender.

كيف يندرج هذا في استراتيجية نقاط نهاية أوسع

BlueHammer مثال واضح على سبب عدم وجوب تعامل فرق تقنية المعلومات الجزائرية مع Defender كطبقة «ثبّته وانسَ». أمن نقاط النهاية يحتاج إلى ثلاثة أشياء تُقصّر معظم البيئات المحلية في الاستثمار فيها: إشارة موثوقة لنشر التصحيحات لكل نقطة نهاية، وتليمتري يصل إلى SIEM أو XDR مركزي، وكائن بشري يقرأ التنبيهات. هذه الثغرة مناسبة جيدة لوضع ميزانية للبندَين الثاني والثالث — لا لمجرد تجديد الترخيص المقبل.

بالنسبة للمؤسسات التي اعتمدت Defender ولا تستطيع إضافة EDR ثانٍ فوراً، يوفّر Microsoft Defender for Endpoint (الإصدار المدفوع) تليمتري سحابي واكتشافات سلوكية واحتواءً آلياً — ميزات كانت ستُشير إلى نشاط BlueHammer في وقت أبكر بكثير ضمن السلسلة مقارنة بالإعدادات الافتراضية لـDefender المجاني.

المصادر والقراءات الإضافية

• BlueHammer & RedSun: Windows Defender CVE-2026-33825 Zero-day Vulnerability Explained — Picus Security
• Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched — The Hacker News
• Microsoft April 2026 Patch Tuesday fixes two zero days, including BlueHammer — Field Effect
• Researcher drops two more Microsoft Defender zero-days, all three now exploited in the wild — Help Net Security
• April 2026 Patch Tuesday: Updates and Analysis — CrowdStrike
• CVE-2026-33825: Local Privilege Escalation via TOCTOU in Microsoft Defender Signature Updates (BlueHammer) — CVEReports