CVE-2026-42897 Exchange: دليل عمل للجزائر

نُشر في مايو 26, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

CVE-2026-42897 ثغرة XSS بدرجة CVSS 8.1 في Exchange OWA مستغَلة فعلياً منذ 14 مايو. لا إصلاح دائم. EEMS يحمل ثغرات موثقة لمستخدمي وضع IE. الإصلاح الدائم متوقع في 10 يونيو.

الخلاصة: افحص EEMS على كل عقدة Exchange، احجب الوصول لـ OWA عبر وضع IE، هيِّئ مراقبة سلوكية لما بعد XSS، وجهِّز ترقيات CU مسبقاً لنشر تحديث 10 يونيو خلال ساعات من إصداره.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

Relevance for Algeria
عالي
▾

Exchange المحلي نشط في القطاعات المصرفية والحكومية والصناعية؛ OWA هي الواجهة الرئيسية للبريد الإلكتروني في كثير من المؤسسات

Action Timeline
فوري
▾

مدرجة في KEV من CISA، استغلال فعلي مؤكد، إصلاح دائم متوقع في 10 يونيو

Key Stakeholders
مديرو تكنولوجيا المعلومات، مسؤولو الأنظمة، مسؤولو أمن المعلومات (CISO)، أصحاب Exchange Server، مرتبطو ASSI في القطاعات المنظَّمة

Decision Type
تكتيكي
▾

Assessment: تكتيكي. Review the full article for detailed context and recommendations.

Priority Level
حرج
▾

Assessment: حرج. Review the full article for detailed context and recommendations.

خلاصة سريعة: يجب على فرق تكنولوجيا المعلومات الجزائرية مراجعة تفعيل EEMS على كل عقدة Exchange اليوم، وتحديد وتعزيز مسارات الوصول إلى OWA عبر وضع IE غير المحمية بإجراء التخفيف، وإنشاء مراقبة سلوكية لمؤشرات الحركة الجانبية بعد الاستغلال، وتجهيز ترقيات التحديثات التراكمية مسبقاً حتى يمكن نشر الإصلاح الدائم خلال ساعات من إصداره المتوقع في 10 يونيو.

لماذا تؤثر هذه الثغرة بشكل مختلف على المؤسسات الجزائرية

لا يُعدّ Microsoft Exchange Server موروثاً قديماً في الجزائر — بل لا يزال العمود الفقري الفعلي للبريد الإلكتروني في كثير من المؤسسات الكبيرة والهيئات العامة والمشغلين الصناعيين. يُشيع هذه الحالةَ الجمعُ بين متطلبات إقامة البيانات التنظيمية، ومحدودية الاتصال بالسحابة في بعض المنشآت، ودورات المشتريات التي تُفضِّل التراخيص المحلية طويلة الأمد، مما يجعل نشرات Exchange Server 2016 و2019 واسعة الانتشار ونشطة الاستخدام.

أُفصح عن CVE-2026-42897 في 14 مايو 2026. تقرير BleepingComputer حول ثغرة Exchange zero-day أكد أن الإصدارات الثلاثة المدعومة حالياً من Exchange Server المحلي متأثرة: Exchange Server 2016، وExchange Server 2019، وExchange Server Subscription Edition (SE). تُصنَّف الثغرة ضمن XSS (CWE-79) بدرجة CVSS أساسية تبلغ 8.1. الاستغلال بسيط: بريد إلكتروني خبيث حين يُفتح في OWA يُنفِّذ JavaScript اعتباطياً في متصفح الضحية — دون ماكرو أو إضافة أو نقرة إضافية.

ما يمس فرق تكنولوجيا المعلومات الجزائرية تحديداً هو الفجوة الزمنية. تناول Patch Tuesday الصادر في 12 مايو 2026 ما مجموعه 138 ثغرة لكنه أغفل هذه الثغرة zero-day. أضافت CISA ثغرة CVE-2026-42897 إلى سجلها للثغرات المستغَلة المعروفة في 15 مايو 2026 — يوم واحد بعد الإفصاح — مما يُشير إلى أن الاستغلال مؤكد وواسع الانتشار، لا نظري. أقرب مركبة للإصلاح الدائم هو Patch Tuesday في 10 يونيو، مما يترك نافذة أربعة أسابيع تقريباً تكون فيها إجراءات التخفيف الدفاعَ الوحيد المتاح.

فهم ثغرات إجراءات التخفيف قبل تطبيقها

أداة التخفيف الرئيسية من Microsoft هي Exchange Emergency Mitigation Service (EEMS). بالنسبة للخوادم المتصلة بالإنترنت، يُنزِّل EEMS تلقائياً قواعد تصفية مؤقتة تحجب سلسلة الاستغلال المعروفة. أما البيئات المعزولة، فتوفر أداة Exchange On-premises Mitigation Tool (EOMT) قدرة مماثلة عبر نشر PowerShell يدوي.

تطبيق EEMS الخطوة الأولى الصحيحة — لكن يجب تطبيقها مع الوعي الكامل. أوردت TechTimes في 19 مايو أن Microsoft حدَّثت النصيحة الأمنية في 18 مايو بثغرات حماية موثقة:

لا يحمي EEMS المستخدمين الذين يصلون إلى OWA عبر Internet Explorer أو Edge في وضع التوافق مع IE. أي مؤسسة جزائرية يصل مستخدموها إلى OWA عبر بوابة إنترانت قديمة أو أداة مُغلَّفة بـ IE أو متصفح Edge في وضع التوافق مع IE، تظل مكشوفةً تماماً بعد تطبيق EEMS.

علاوةً على ذلك، يُعطِّل تطبيق إجراء التخفيف عدة وظائف في OWA: تتوقف ميزة طباعة التقويم، وتفشل الصور المضمَّنة في الظهور بشكل صحيح، وتتوقف واجهة OWA Light (/?layout=light) كلياً، ويُبلِّغ healthset الخاص بـ OWACalendar.Proxy عن حالة غير سليمة مما يُطلق تنبيهات مراقبة زائفة. على الفرق إخماد هذه التنبيهات الزائفة لتجنب تعب التنبيهات.

ما يجب على فرق تكنولوجيا المعلومات الجزائرية فعله حيال CVE-2026-42897

هذا حدث استجابة من الدرجة الأولى — ليس لأن جميع المؤسسات الجزائرية تتعرض لهجوم فعلي، بل لأن نافذة التخفيف المنظم ضيقة وتكلفة التأخير بعد الاستغلال مرتفعة.

1. مراجعة تفعيل EEMS على كل عقدة Exchange — لا تفترض شيئاً

يأتي EEMS معطَّلاً افتراضياً في كثير من نشرات Exchange، ولا سيما تلك المُهيَّأة قبل 2024 أو في البيئات المحصَّنة التي تُقيِّد الاتصال الخارجي. على كل خادم Exchange، شغِّل:

“ Get-ExchangeDiagnosticInfo -Server <اسم_الخادم> -Process EdgeTransport -Component VariantConfiguration -Setting Orchestrator “

وثِّق النتيجة لكل عقدة. إن لم يكن EEMS قيد التشغيل، فعِّله فوراً وفق توجيهات Microsoft TechCommunity حول CVE-2026-42897. بالنسبة لخوادم Exchange في الشبكات المعزولة — الشائعة في المنشآت الصناعية والشبكات الحكومية الآمنة — نزِّل EOMT وشغِّله من نقطة توزيع داخلية موثوقة. لا تفترض أن العقد الموروثة من عمليات استحواذ سابقة متوافقة؛ افحص كل واحدة منها صراحةً.

2. جرد وتعزيز مسارات الوصول إلى OWA المعتمدة على IE قبل يوم العمل التالي

الثغرة المؤكدة في EEMS لـ Internet Explorer ووضع التوافق مع IE ليست حالة حافّية نظرية في سياق المؤسسات الجزائرية. بوابات الإنترانت القديمة التي تُضمِّن OWA في إطارات متوافقة مع IE، ومتصفحات Edge المُهيَّأة بوضع IE في بعض شبكات الإنترانت الحكومية أو المصرفية، أنماط نشر حقيقية تُعرِّض المستخدمين للخطر.

استعلم سجلات وصول Exchange عن جلسات OWA التي تحمل سلاسل وكيل مستخدم خاصة بـ IE من الثلاثين يوماً الماضية. إن وُجدت جلسات بوضع IE، قيِّمها وفق خيارين: نقل هؤلاء المستخدمين إلى متصفح حديث قبل يوم العمل التالي (الخيار المفضل)، أو تقييد وصولهم إلى OWA عبر Group Policy حتى وصول الإصلاح الدائم.

3. إنشاء مراقبة سلوكية لمؤشرات الحركة الجانبية بعد الاستغلال XSS

بمجرد تنفيذ CVE-2026-42897 في سياق متصفح OWA، يحتفظ المهاجم بملفات تعريف ارتباط الجلسة ويستطيع إصدار طلبات MAPI-over-HTTP مصادَق عليها بصمت — قراءة محتوى صندوق البريد وإنشاء قواعد التوجيه والوصول إلى بيانات التقويم دون تشغيل تنبيهات مضادات الفيروسات أو الكشف عن نقاط النهاية.

هيِّئ تنبيهات لـ: قواعد توجيه البريد الجديدة المُنشأة خارج ساعات العمل، والوصول الجماعي عبر MAPI من عناوين IP غير معتادة، وطلبات تصدير التقويم (لا سيما لحسابات المديرين التنفيذيين)، وعمليات تسجيل الدخول إلى OWA بتوقيت غير مألوف. تظهر هذه المؤشرات في مرحلة ما بعد اختطاف الجلسة وتُوفِّر أبكر فرصة كشف عملية قبل الإصلاح الدائم.

4. الإعداد المسبق لترقيات التحديثات التراكمية لنافذة التحديث في 10 يونيو

سيصدر الإصلاح الدائم ضمن التحديثات التراكمية لـ Exchange SE RTM وExchange 2016 CU23 وExchange 2019 CU14/CU15. المؤسسات التي تُشغِّل تحديثات تراكمية أقدم — وضع شائع في البيئات التي تعامل ترقيات CU كأحداث سنوية — لا تستطيع تطبيق الإصلاح الدائم مباشرةً دون الترقية أولاً إلى القاعدة CU المطلوبة.

ابدأ الآن تقييم ترقية CU. حدِّد إصدار CU الذي يُشغِّله كل خادم Exchange، وقارنه بالقواعد المؤهلة للتحديث، وجدوِل أعمال الترقية في بيئة اختبار. ترقيات CU لـ Exchange تتطلب اختباراً لوكلاء النقل المخصصين والموصلات والتكاملات وتكوينات التشغيل المختلط. هذا الاختبار يأخذ أياماً. المؤسسات التي تبدأ هذا العمل الآن تستطيع تطبيق الإصلاح الدائم خلال ساعات من إصداره في 10 يونيو.

السياق الأشمل: معاملة Exchange كتطبيق ويب

تستلزم الاستجابة لـ CVE-2026-42897 ذات الانضباط الذي تُطبِّقه المؤسسات على تطبيقات الويب المواجهة للإنترنت — لأن OWA، من الناحية الوظيفية، تطبيق ويب مواجه للإنترنت. ناقل هجوم XSS، وعاقبة اختطاف الجلسة، ونموذج الكشف السلوكي: هذه مفاهيم أمن تطبيقات الويب، لا مفاهيم بنية تحتية للبريد الإلكتروني التقليدية.

يجب على الفرق الأمنية الجزائرية التي بنت ضوابط حدودية متينة لـ Exchange لكن لم تمد مراقبة أمن تطبيقات الويب إلى OWA أن تعتبر هذه الثغرة محفزاً للتغيير. تُراقب وكالة أمن أنظمة المعلومات (ASSI) الوضع الأمني السيبراني الوطني وتنسق الاستجابات للثغرات الفعلية. يمكن للمؤسسات غير المتأكدة من حالة نشر EEMS أو تعرضها لـ OWA في وضع IE التواصل مع ASSI والاستعانة بهذا الدليل كإطار تشغيلي للمعالجة الداخلية.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل تؤثر هذه الثغرة على المؤسسات التي تستخدم Exchange المحلي وMicrosoft 365 معاً في وضع هجين؟

نعم، مع تفصيل. ثغرة OWA خاصة بمكونات Exchange Server المحلية — التهيئة الهجينة نفسها لا تُوسِّع الثغرة إلى Exchange Online. غير أنه في النشر الهجين، تظل صناديق البريد المحلية يُصل إليها عبر نقطة نهاية OWA المحلية المكشوفة تماماً. يجب على المؤسسات في الوضع الهجين تطبيق EEMS على خوادم Exchange المحلية وتحديد المستخدمين الذين لا يزالون يمتلكون صناديق بريد محلية.

هل إجراء تخفيف EEMS كافٍ لوقف الاستغلال حتى وصول الإصلاح الدائم؟

لمعظم المستخدمين، نعم — بشرط عدم الوصول إلى OWA عبر Internet Explorer أو Edge في وضع التوافق مع IE. يُطبِّق EEMS تصفيةً من جانب الخادم تحجب إنشاءات HTML المستخدمة في سلسلة الاستغلال المعروفة. الثغرة المؤكدة خاصة بمسارات الوصول عبر وضع IE. إذا أكدت مؤسستك عدم وصول أي مستخدم إلى OWA عبر IE أو وضع IE، يوفر EEMS الحماية المؤقتة المقصودة مع قبول تنازلات الوظائف المعطَّلة.

ما الذي يجب توصيله للمستخدمين التنفيذيين الذين تُشكِّل حساباتهم أهدافاً أعلى خطورة؟

انصح المديرين التنفيذيين ومساعديهم بالوصول إلى البريد الإلكتروني عبر تطبيق Outlook سطح المكتب (لا OWA) حتى نشر الإصلاح الدائم. الثغرة خاصة بواجهة الويب — عميل Outlook MAPI غير متأثر. إن كان OWA ضرورياً تشغيلياً، تأكد من وصول هؤلاء المستخدمين عبر متصفح حديث (Chrome أو Edge بالوضع القياسي أو Firefox) وأن EEMS مطبَّق على خادم بريدهم. راجع فوراً أي قواعد توجيه على صناديق بريد المديرين التنفيذيين.