⚡ أبرز النقاط

صحّحت Microsoft ثغرة CVE-2026-33826 في 14 أبريل 2026، وهي ثغرة RCE في RPC الخاص بـActive Directory بدرجة CVSS 8.0 مصنفة «Exploitation More Likely». يمكن لأي مستخدم مصادَق في نفس المجال إرسال استدعاء RPC مُصاغ وتنفيذ تعليمات برمجية على وحدة تحكم بالمجال. تؤثر على جميع إصدارات Windows Server المدعومة من 2012 R2 إلى 2025، وتم تصحيحها بـKB5082063 (Server 2025) وKB5082142 (Server 2022).

خلاصة: على المؤسسات الجزائرية تصحيح كل وحدة تحكم بالمجال خلال 7 أيام، وتدقيق حسابات Tier 0 ذات الامتيازات، واستخدام دورة أبريل 2026 لإعادة فتح استثمارات تقسيم AD إلى مستويات وMFA التي أجّلتها معظم البيئات.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
كل مؤسسة جزائرية متوسطة إلى كبيرة تشغّل Active Directory. DC واحد مخترق في بنك أو شركة اتصالات أو مؤسسة عمومية اقتصادية ينشئ إمكانية حادث فوري على نطاق وطني.
الجدول الزمني للعمل
فوري
صحّح DCs خلال 7 أيام، والخوادم الأعضاء خلال 30 يوماً. عالج RCE المقترنة في أبريل 2026 (33827، 33824) في نفس الدورة.
أصحاب المصلحة الرئيسيون
رؤساء أمن المعلومات، مسؤولو AD،
نوع القرار
تكتيكي
تصحيح تشغيلي + مراجعة تحصين AD مدفوعة بخطر محدد ووشيك على مستوى الهوية.
مستوى الأولوية
حرج
Microsoft تصنّفها «Exploitation More Likely». اختراق AD هو عادةً نقطة الارتكاز في حوادث الفدية وتسريب البيانات الكبرى.

خلاصة سريعة: على رؤساء أمن المعلومات الجزائريين اعتبار 14 أبريل 2026 تاريخ «صحّح أو انزف» لوحدات التحكم بالمجال. انشر KB5082063 وKB5082142 على كل DC هذا الأسبوع، ودقّق المجموعات ذات الامتيازات، واستخدم هذه الدورة لإعادة فتح نقاش الـTiering وMFA الذي أجّلت معظم بيئات AD الجزائرية معالجته.

تشريح مسح مجال مصادَق

في 14 أبريل 2026، أصدرت Microsoft تصحيحات لـ163 ثغرة في أحد أكبر إصدارات Patch Tuesday للعام. من بينها، تبرز CVE-2026-33826 لأنها تستهدف أكثر المستويات امتيازاً في أي بنية IT مؤسسية: وحدات التحكم بمجال Active Directory.

تكمن الثغرة في تنفيذ RPC الخاص بـActive Directory، وسببها التحقق غير السليم من المدخلات (CWE-20). يمكن للمهاجم الذي يحمل أصلاً بيانات اعتماد صالحة لأي حساب في نفس مجال AD المقيد المستهدف إرسال استدعاء RPC مُصاغ يؤدي إلى تنفيذ تعليمات برمجية عن بُعد بصلاحيات مضيف RPC — أي عملياً، وحدة تحكم بالمجال.

أعطت Microsoft درجة CVSS 8.0 ووضعت الثغرة تحت تصنيف «Exploitation More Likely» في مؤشر الاستغلال. متجه الهجوم هو «adjacent network» وليس عن بُعد بالكامل، لأنه يتعيّن على المهاجم أن يكون داخل نفس مجال AD. في البيئات الجزائرية التي يأتي الوصول الأولي فيها عادةً عبر التصيد، أو MFA fatigue، أو بيانات اعتماد VPN مخترقة، هذه العتبة ضئيلة.

جميع إصدارات Windows Server المدعومة متأثرة: Server 2012 R2 إلى Server 2025، تثبيتات Standard وCore.

لماذا يهم هذا المؤسسات الجزائرية

تشغّل المؤسسات الجزائرية المتوسطة والكبيرة — البنوك والاتصالات والطاقة والوزارات والجامعات — غابات Active Directory تقليدية محلية. اختراق وحدة تحكم بالمجال واحدة ينعكس تسلسلياً على كامل مستوى الهوية: تزوير تذاكر Kerberos، ترحيل NTLM، DCSync، إساءة استخدام GPO.

سيناريوهات جزائرية محددة تستحق اختبار الضغط:

  • أنظمة البنوك الأساسية. BEA وBADR وCPA وBNA تستخدم AD للمصادقة بين الفرع والنواة. DC مخترق يكشف تذاكر Kerberos المستخدمة للوصول إلى نظام المدفوعات.
  • مجالات BSS/OSS للاتصالات. منصات المكتب الخلفي للمشغلين لـCRM والفوترة والتزويد تعمل في مجالات Windows.
  • الخدمات المشتركة للوزارات والمؤسسات العمومية الاقتصادية. الخدمات المركزية لوزارة التحول الرقمي وIT المؤسسي لـSonatrach تعمل في غابات متعددة المجالات كبيرة حيث علاقات الثقة ستنشر الاختراق.
  • الجامعات والمنصات المستضافة من CERIST. بيئات الأبحاث ذات عضوية المجال المتساهلة هي أسهل مكان لتحوّل موطئ قدم منخفض الامتياز إلى RCE على DC.

إعلان

قائمة تحصين وحدات التحكم بالمجال خلال 7 أيام

مستمدة من إرشادات Tenable وCrowdStrike وSANS ISC وCERT-Santé حول إصدار أبريل 2026:

  1. صحّح كل وحدة تحكم بالمجال أولاً. KB5082063 لـServer 2025 (Build 10.0.26100.32690)، KB5082142 لـServer 2022 (Build 10.0.20348.5020)، والتحديث التراكمي لأبريل 2026 للإصدارات الأقدم من Server. وحدات التحكم بالمجال لها الأولوية على الخوادم الأعضاء.
  2. استخدم نشر حلقة اختبار ثم إنتاج. صحّح DC الأقل أهمية أولاً، تحقق من التكرار (repadmin /replsummary) وDNS وصحة أدوار FSMO، ثم تتابع إلى DC الرئيسية خلال 48 ساعة.
  3. راقب حركة مرور RPC. مكّن Windows Event Logs 5712 و5140 و5145 على وحدات التحكم بالمجال. توصي Tenable وMicrosoft بمراقبة أنماط RPC غير الاعتيادية المستهدِفة نقاط النهاية lsarpc وnetlogon وsamr.
  4. دقّق الحسابات ذات الامتيازات. راجع عضوية Domain Admins وEnterprise Admins وSchema Admins. احذف الحسابات القديمة. افرض MFA على حسابات الأدمن من المستوى Tier 0 عبر البطاقات الذكية أو مفاتيح FIDO2 — قاعدة أساسية متوائمة مع ANSSI بموجب المرسوم 25-321.
  5. قلل نصف قطر انفجار الوصول الأولي. انشر LAPS (Local Administrator Password Solution)، افرض وضع PowerShell Constrained Language Mode، واعزل أصول Tier 0 على شبكات VLAN مخصصة لا يمكن الوصول إليها من شبكات المستخدمين النهائيين.
  6. تحقق من النسخ الاحتياطية. أكّد أن نسخ System State + ntds.dit تنجح ويمكن استعادتها لكل DC. اختبر استعادة DSRM على DC مختبر هذا الربع.
  7. ارفع تقريراً إلى ANSSI / DZ-CERT. المؤسسات المصنفة كبنية تحتية للمعلومات الحيوية بموجب المرسوم الرئاسي 25-321 (ديسمبر 2025) عليها توثيق دورة التصحيح وأي شذوذ إلى مسؤول الاتصال بـASSI في CERIST.

التصحيحات المرافقة في نفس الدورة

تُشحن CVE-2026-33826 إلى جانب ثغرات CVE أخرى من أبريل 2026 يجب على المدافعين الجزائريين تصحيحها في نفس النافذة:

  • CVE-2026-33827 — ثغرة RCE في Windows TCP/IP IPv6/IPsec، قابلة للانتشار الدودي وفقاً لـZero Day Initiative.
  • CVE-2026-33824 — ثغرة RCE في خدمة Windows IKE (تبادل مفاتيح IPsec).
  • ثغرة zero-day في SharePoint مُستغلة في البرية، تهم الوزارات التي تشغّل بوابات SharePoint محلياً.
  • 163 ثغرة CVE إضافية عبر Office وEdge وHyper-V وDefender وWin32k.

عالِج أبريل 2026 كدورة تصحيح واحدة منسقة. اختيار CVE-2026-33826 دون معالجة RCE المقترنة يترك عدة مسارات للحركة الجانبية مفتوحة على نفس الشبكة.

أبعد من التصحيح: تحصين AD للجولة التالية

تصحيح CVE-2026-33826 يشتري وقتاً. إغلاق الفجوة الهيكلية — مهاجم بأوراق اعتماد صالحة يصل إلى DC — يتطلب ثلاث استثمارات أطول أمداً لا تزال معظم المؤسسات الجزائرية تستثمر فيها أقل من اللازم:

  • Tiering (نموذج «Red Forest» / ESAE من Microsoft أو Enterprise Access Model المحدّث): افصل Tier 0 (الهوية)، Tier 1 (الخوادم)، Tier 2 (محطات العمل) دون إعادة استخدام بيانات الاعتماد عبر المستويات.
  • قواعد Attack Surface Reduction في Defender for Endpoint، وتحديداً حماية سرقة بيانات اعتماد LSASS وقواعد العمليات الفرعية لـOffice.
  • تمارين red team قائمة على التهديد باستخدام BloodHound وCobalt Strike (مُحاكى) وImpacket. تُجري البنوك الجزائرية ذات البرامج المتوائمة مع ANSSI هذه التمارين أصلاً؛ المؤسسات خارج إطار CII نادراً ما تفعل، وهناك ستعضّ CVE-2026-33826.
تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

كيف تختلف CVE-2026-33826 عن ثغرات AD الأقدم مثل Zerologon؟

Zerologon (CVE-2020-1472) كانت غير مصادَقة واستغلّت عيباً تشفيرياً في Netlogon. CVE-2026-33826 تتطلب بيانات اعتماد مجال صالحة — أي حساب مستخدم عادي يعمل — وتستغل خطأ في التحقق من مدخلات RPC. عملياً، ولأن الوصول الأولي عبر التصيد أو سرقة بيانات الاعتماد روتيني، الحاجز الفعلي للهجوم متماثل.

هل يمكن للبنوك الجزائرية تأجيل التصحيح إلى نافذة التغيير الربعية التالية؟

لا. تصنيف Microsoft «Exploitation More Likely» مقترناً بمتجه adjacent-network (أي مستخدم مجال على مرمى الهدف) يعني أن الاستغلال الفعلي متوقع خلال أسابيع من إصدار التصحيح. يتوقع المنظمون المصرفيون وإطار CII لـANSSI تصحيح CVE الحرجة على DCs خارج إيقاع التغيير المعتاد.

ما هو أمر PowerShell المحدد الذي يتحقق من أن DC مصحَّح؟

شغّل Get-HotFix -ComputerName وأكّد ظهور KB5082063 (Server 2025) أو KB5082142 (Server 2022) في القائمة. قاطع مع إصدار نظام التشغيل: يجب أن يُبلّغ Server 2025 عن 10.0.26100.32690 أو أحدث عبر [System.Environment]::OSVersion.Version بعد إعادة التشغيل. لإصدارات Server الأقدم، أكّد تثبيت التحديث التراكمي لأبريل 2026.

المصادر والقراءات الإضافية