⚡ أبرز النقاط

CVE-2026-42897 ثغرة XSS بدرجة CVSS 8.1 في Exchange OWA، مؤكدة الاستغلال الفعلي منذ 14 مايو 2026. لا يوجد إصلاح دائم. إجراء تخفيف EEMS يحمل ثغرات موثقة لمستخدمي وضع IE.

الخلاصة: فعِّل EEMS على كل عقدة Exchange اليوم، احجب الوصول إلى OWA عبر وضع IE، وجهِّز ترقيات CU مسبقاً حتى يُنشَر الإصلاح الدائم — المتوقع نحو 10 يونيو — خلال ساعات من إصداره.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
Exchange المحلي شائع في البنوك والحكومة والمؤسسات الكبيرة الجزائرية؛ وOWA غالباً الواجهة الرئيسية للبريد الإلكتروني
البنية التحتية جاهزة؟
جزئي
نشر EEMS متفاوت؛ كثير من الخوادم الجزائرية الموروثة من تثبيتات قديمة تعمل بـ EEMS معطَّلاً
المهارات متوفرة؟
جزئي
مهارات إدارة Exchange موجودة في المؤسسات الكبيرة؛ قد تفتقر الشركات الصغيرة والمتوسطة إلى خبرة أمن Exchange الداخلية
الجدول الزمني للعمل
فوري
مدرجة في KEV من CISA، الاستغلال الفعلي مؤكد، الموعد النهائي الفيدرالي 29 مايو
أصحاب المصلحة الرئيسيون
مديرو تكنولوجيا المعلومات، مسؤولو الأنظمة، مسؤولو أمن المعلومات (CISO)، أصحاب Exchange Server في البنوك والاتصالات والإدارات
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: يجب على المؤسسات الجزائرية التي تُشغِّل Exchange Server المحلي التعامل مع CVE-2026-42897 باعتبارها حدثاً من الدرجة الأولى للاستجابة للحوادث اليوم. فعِّلوا EEMS على كل عقدة Exchange، وافحصوا مسارات الوصول إلى OWA عبر وضع IE غير المحمية بإجراء التخفيف، وجهِّزوا ترقيات التحديثات التراكمية مسبقاً حتى يمكن نشر الإصلاح الدائم — المتوقع نحو 10 يونيو — خلال ساعات من إصداره.

إعلان

بريد إلكتروني واحد يكفي لاختراق صندوق Exchange الخاص بك

آلية ثغرة CVE-2026-42897 بسيطة بشكل مضلل: يرسل المهاجم بريداً إلكترونياً مصمماً خصيصاً إلى صندوق بريد مستهدف. حين يفتح المستلم هذه الرسالة عبر Outlook Web Access (OWA)، ينفَّذ كود JavaScript اعتباطي في سياق المتصفح — دون أي تفاعل إضافي من المستخدم، ودون مربع حوار تفعيل الماكرو، ودون أي إضافة مطلوبة. تُصنَّف الثغرة ضمن التحييد غير الصحيح للمدخلات أثناء توليد صفحات الويب (CWE-79)، وهي التصنيف الرسمي لثغرات البرمجة النصية عبر المواقع.

أعلنت Microsoft عن الثغرة في 14 مايو 2026، وأكدت استغلالها الفعلي وقت الإفصاح. تعكس درجة CVSS الأساسية البالغة 8.1 انخفاض تعقيد الهجوم والأثر المرتفع على السرية والنزاهة. تقرير BleepingComputer حول ثغرة Exchange zero-day أكد أن الإصدارات الثلاثة المدعومة حالياً من Exchange Server المحلي متأثرة: Exchange Server 2016، وExchange Server 2019، وExchange Server Subscription Edition (SE).

ما يجعل هذه الثغرة خطرة بشكل خاص هو التوقيت. تناول Patch Tuesday الصادر في 12 مايو 2026 ما مجموعه 138 ثغرة — لكن CVE-2026-42897 لم تكن من بينها. بعد يومين، أُفصح عن الثغرة وأُكد استغلالها الفعلي، تاركاً المؤسسات بلا إصلاح دائم ضمن دورة التحديث الشهرية القياسية. مدونة Microsoft TechCommunity حول ثغرة Exchange مايو 2026 أكدت أن إصلاحات دائمة مخططة لـ Exchange SE RTM وExchange 2016 CU23 وExchange 2019 CU14/CU15 — غير أن تاريخ الإصدار لم يُعلَن حتى نهاية مايو 2026.

مشهد إجراءات التخفيف أكثر تعقيداً مما يبدو

يعتمد رد Microsoft الأساسي للتخفيف على أداتين: خدمة Exchange Emergency Mitigation Service (EEMS) للخوادم المتصلة بالإنترنت، وأداة Exchange On-premises Mitigation Tool (EOMT) للبيئات المعزولة عبر PowerShell. يطبق EEMS تلقائياً حمايات مؤقتة عند تفعيله، مما يجعله أسرع دفاع متاح لمعظم المؤسسات.

المشكلة، كما أوردت TechTimes في 19 مايو، أن إجراء التخفيف يحمل ثغرات موثقة جُدِّدت في 18 مايو. تحديداً:

  • Internet Explorer ووضع التوافق مع IE غير محميَّين. تظل المؤسسات التي يصل مستخدموها إلى OWA عبر Internet Explorer أو Microsoft Edge في وضع توافق IE مكشوفةً تماماً حتى بعد تطبيق إصلاح EEMS.
  • العملاء القديمون غير مشمولون. أي بيئة لا تزال تُوجِّه المستخدمين عبر عملاء متوافقة مع IE لا تحظى بأي تخفيف فعّال من EEMS.

علاوة على فجوات الحماية، يُعطِّل تطبيق إجراء التخفيف وظائف مشروعة: تتوقف ميزة طباعة التقويم في OWA عن العمل، وتفشل الصور المضمَّنة في الظهور بشكل صحيح في أجزاء القراءة، وتتوقف واجهة OWA Light القديمة (المتاحة عبر /?layout=light) كلياً، ويُبلِّغ healthset الخاص بـ OWACalendar.Proxy عن حالة غير سليمة مما يُطلق تنبيهات مراقبة زائفة.

أضافت CISA ثغرة CVE-2026-42897 إلى سجلها للثغرات المستغَلة المعروفة في 15 مايو 2026، أي بعد يوم واحد من الإفصاح. الوكالات الفيدرالية المدنية التنفيذية (FCEB) ملزَمة بتطبيق إجراءات التخفيف بحلول 29 مايو 2026.

إعلان

ما يجب على فرق أمن المؤسسات فعله الآن

يجعل الجمع بين الاستغلال الفعلي، وغياب الإصلاح الدائم، والإدراج في KEV من CISA، والثغرات الموثقة في إجراءات التخفيف، هذا الأمرَ حدثاً استجابةً من الدرجة الأولى.

1. مراجعة حالة EEMS وتفعيله فوراً على كل خادم Exchange

يأتي EEMS معطَّلاً افتراضياً في كثير من عمليات النشر المحلية، ولا سيما تلك المثبَّتة قبل عام 2024. شغِّل فحص PowerShell التالي على كل خادم Exchange:

Get-ExchangeDiagnosticInfo -Server <اسم_الخادم> -Process EdgeTransport -Component VariantConfiguration -Setting Orchestrator

إن لم يكن EEMS قيد التشغيل، فعِّله فوراً وفق إرشادات فريق Exchange. بالنسبة للخوادم المعزولة التي لا تستطيع الوصول إلى نقطة نهاية التخفيف لدى Microsoft، انشر EOMT يدوياً. لا تفترض أن الخوادم الموروثة من عمليات الاستحواذ أو البيئات القديمة تمتلك EEMS مفعَّلاً.

2. جرد وعزل مسارات الوصول إلى OWA المعتمدة على IE

الثغرة المؤكدة في حماية EEMS لمتصفح Internet Explorer ليست حالة حافّية نظرية. كثير من بيئات المؤسسات — لا سيما في التصنيع والرعاية الصحية والقطاع الحكومي — تُشغِّل تطبيقات أعمال داخل حاويات IE أو تستخدم وضع التوافق مع IE في Edge. استخرج سجلات الوصول من خوادم Exchange وحدِّد أي جلسات OWA تستخدم سلاسل وكيل المستخدم الخاصة بـ IE. يمكن لـ Group Policy حجب وصول OWA عبر وضع IE مع الإبقاء على استخدام IE لأدوات داخلية أخرى.

3. تعزيز توجيه URL في OWA ومراقبة مؤشرات XSS

نظراً لأن الاستغلال يُسلِّم JavaScript عبر جسم البريد الإلكتروني الخبيث، يُعدّ تصفية بوابة البريد الإلكتروني القياسية إجراءً تعويضياً مجدياً — لكن فقط للمحتوى الذي تستطيع البوابة فحصه. بمجرد تنفيذ JavaScript في سياق متصفح OWA، يتمكن المهاجم من الوصول إلى ملفات تعريف الارتباط للجلسة وسرقة محتوى صندوق البريد بصمت. أنشئ مراقبة سلوكية لنشاط OWA الشاذ: الوصول خارج ساعات العمل، والوصول الجماعي للرسائل، وطلبات تصدير التقويم، وإنشاء قواعد التوجيه.

4. الإعداد المسبق للتحديثات وتجربتها على بيئتك المخصصة

أكدت Microsoft قدوم إصلاحات دائمة لـ Exchange SE RTM وExchange 2016 CU23 وExchange 2019 CU14 وCU15. المؤسسات التي تُشغِّل تحديثات تراكمية أقدم يجب أن تُرقِّي قاعدة CU الخاصة بها الآن. ترقيات CU لـ Exchange ليست بسيطة على الأنظمة التي تحتوي على وكلاء نقل مخصصين أو حلول أرشفة تابعة لجهات خارجية أو تكوينات هجينة. وجود هذا العمل التمهيدي جاهزاً يعني أنك تستطيع تطبيق الإصلاح الدائم خلال ساعات من إصداره.

المخاطرة البنيوية: Exchange المحلي لا يزال منتشراً في كل مكان

تطال CVE-2026-42897 قاعدة مثبَّتة أكبر بكثير مما توحي به جداول زمنية للترحيل إلى السحابة. حققت Microsoft 365 موقعاً مهيمناً في النشرات الجديدة، لكن الترحيل من Exchange المحلي إلى Exchange Online يظل غير مكتمل في قطاعات المؤسسات الكبيرة والقطاعات الخاضعة للتنظيم. كثير من الجهات التنظيمية في القطاعَين المالي والصحي والحكومي في دول عديدة تفرض متطلبات إقامة البيانات التي تجعل Exchange المحلي الخيار الوحيد المتوافق.

Exchange Server Subscription Edition نفسه — إعادة تسمية Microsoft عام 2025 لـ Exchange المحلي كمنتج برخصة دائمة — إقرار ضمني بأن القاعدة المثبَّتة المحلية لن تختفي. CVE-2026-42897 هي في جوهرها ثغرة ستضطر Microsoft إلى تصحيحها في منتج التزمت بصراحة بصيانته إلى أجل غير مسمى.

للفرق الأمنية، الدرس بنيوي: يستلزم Exchange المحلي الإيقاع ذاته للاستجابة للثغرات zero-day المطلوب لتطبيقات الويب المواجهة للإنترنت — لأن OWA، من الناحية الوظيفية، تطبيق ويب مواجه للإنترنت.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

هل تؤثر CVE-2026-42897 على Exchange Online / Microsoft 365؟

لا. الثغرة خاصة بـ Exchange Server المحلي (الإصدارات 2016 و2019 وSubscription Edition). Exchange Online خدمة سحابية منفصلة تديرها Microsoft، وقد أكدت Microsoft أنه غير متأثر. المؤسسات التي انتقلت بالكامل إلى Exchange Online ليست عرضة لهذه الثغرة.

ما الذي يحجبه فعلياً إجراء تخفيف EEMS؟

تُطبِّق خدمة Exchange Emergency Mitigation Service قواعد تصفية من جانب الخادم تمنع الإنشاءات HTML الخبيثة المستخدمة في سلسلة الاستغلال المعروفة من الوصول إلى محرك التصيير في OWA. غير أنه اعتباراً من 18 مايو، أكدت Microsoft أنه لا يحمي المستخدمين الذين يصلون إلى OWA عبر Internet Explorer أو Edge في وضع التوافق مع IE. كما يُعطِّل التخفيف ميزة طباعة التقويم، ويكسر عرض الصور المضمَّنة، ويجعل وضع OWA Light غير وظيفي.

متى سيتوفر الإصلاح الدائم؟

لم تُعلن Microsoft عن تاريخ إصدار حتى نهاية مايو 2026. أقرب Patch Tuesday بعد الإفصاح هو 10 يونيو 2026، وهو التاريخ المرجَّح الأول. إصلاحات دائمة مخططة لـ Exchange SE RTM وExchange 2016 CU23 وExchange 2019 CU14 وCU15 (الأخير ضمن ESU). المؤسسات التي تُشغِّل تحديثات تراكمية أقدم يجب أن تُرقِّي قاعدة CU فوراً لتتمكن من تطبيق الإصلاح الدائم يوم إصداره.

المصادر والقراءات الإضافية