يوم تحديث ثلاثاء لا مثيل له
وصل التحديث الأمني الشهري من Microsoft لفبراير 2026، الصادر في 10 فبراير، حاملاً حمولة سجلت أرقاماً قياسية وأطلقت إنذارات في مجتمع الأمن السيبراني. من بين 58 ثغرة تمت معالجتها — مع إحصاء Tenable لـ 54 ثغرة Microsoft فريدة، بما فيها اثنتان بتصنيف حرج و51 مهمة وواحدة متوسطة — كانت ست ثغرات قيد الاستغلال النشط في البرية قبل توفر التصحيحات. أضاف إصدار Adobe المتزامن 44 ثغرة إضافية عبر تسع نشرات منتجات، مما ضاعف ما كان بالفعل أخطر يوم تحديث ثلاثاء في الذاكرة الحديثة.
ست ثغرات يوم صفر مُستغلة في وقت واحد أمر استثنائي بأي مقياس تاريخي. في شهر عادي، تصحح Microsoft من صفر إلى اثنتين من الثغرات المُستغلة نشطاً. اتساع دفعة فبراير 2026 — الممتدة عبر Windows Shell وإطار عمل MSHTML وMicrosoft Word وخدمات سطح المكتب البعيد ومدير نوافذ سطح المكتب ومدير اتصال الوصول البعيد — يشير إلى استغلال من قبل مجموعات تهديد متعددة تستهدف جوانب مختلفة من منظومة Windows في وقت واحد. ربط باحثو Akamai لاحقاً إحدى الثغرات بمجموعة APT28 الروسية المدعومة من الدولة.
استجابت CISA بإضافة الست جميعها إلى كتالوج الثغرات المُستغلة المعروفة (KEV)، ملزمةً وكالات السلطة التنفيذية المدنية الفيدرالية بتطبيق التصحيحات بحلول 3 مارس 2026. لفرق الأمن المُرهقة بالفعل من المتطلبات التشغيلية للتصحيح المستمر، قدّم تحديث فبراير تحدي فرز مستحيلاً.
الثغرات الست: تحليل تقني
CVE-2026-21510: تجاوز ميزة أمان Windows Shell (درجة CVSS 8.8)
كانت الثغرة الأكثر خطورة فورية في الدفعة تتعلق بتجاوز ميزة أمان في Windows Shell — المكوّن المسؤول عن التعامل مع عمليات الملفات والاختصارات وواجهة المستخدم لإدارة الملفات. سمحت الثغرة للمهاجمين بتجاوز حوارات تحذيرات أمان SmartScreen وShell في Windows، مما مكّن ملفاً خبيثاً معدّاً من التنفيذ دون تفعيل الحوارات الأمنية التي دُرِّب المستخدمون على الاعتماد عليها.
تجاوزت الثغرة حماية علامة الويب (Mark of the Web / MotW) — آلية أمان تُعلّم الملفات المُنزّلة من الإنترنت وتُفعّل تحذيرات إضافية عند فتحها. باستغلال هذا الخلل، تمكن المهاجمون من إيصال ملفات ارتباط (.lnk) أو اختصارات خبيثة عبر البريد الإلكتروني أو التحميل من الويب تُنفَّذ دون حوارات الموافقة القياسية. كانت نقرة واحدة كافية للاستغلال.
كُشفت هذه الثغرة علناً قبل توفر التصحيح واستُغلت في البرية كثغرة يوم صفر. تؤثر على جميع إصدارات Windows المدعومة حالياً.
CVE-2026-21513: تجاوز ميزة أمان إطار عمل MSHTML (درجة CVSS 8.8)
MSHTML — محرك عرض HTML القديم الذي يُشغّل مكونات Internet Explorer المُضمَّنة في أرجاء Windows — يواصل كونه مصدراً غزيراً للثغرات الحرجة رغم تقاعد Internet Explorer الرسمي. نتج هذا التجاوز الأمني، المتجذر في منطق التنقل عبر الروابط في `ieframe.dll`، عن تحقق غير كافٍ لعناوين URL المستهدفة. سمح ذلك لمدخلات يتحكم فيها المهاجم بالوصول إلى مسارات كود تستدعي `ShellExecuteExW`، مما مكّن من تنفيذ موارد محلية أو بعيدة خارج سياق أمان المتصفح المقصود.
وفقاً للتحليل التقني من Akamai، استخدم الاستغلال إطارات iframe متداخلة وسياقات DOM متعددة للتلاعب بحدود الثقة، متجاوزاً كلاً من MotW وتكوين الأمان المحسّن لـ IE. أوصل المهاجمون الاستغلال عبر ملفات LNK خبيثة.
ربط باحثو Akamai هذه الثغرة لاحقاً بمجموعة APT28 الروسية (Fancy Bear)، حيث حددوا قطعة أثرية خبيثة رُفعت إلى VirusTotal في 30 يناير 2026 — قبل توفر التصحيح — مرتبطة ببنية تحتية تابعة للمجموعة المدعومة من الدولة الروسية. قدّم إصلاح Microsoft تحققاً أكثر صرامة من بروتوكول الرابط، مما يضمن تنفيذ البروتوكولات المدعومة ضمن سياق المتصفح بدلاً من تمريرها مباشرة إلى `ShellExecuteExW`.
CVE-2026-21514: تجاوز ميزة أمان Microsoft Word (درجة CVSS 7.8)
سمحت هذه الثغرة للمهاجمين بصياغة مستندات Word تتجاوز الإجراءات الدفاعية القائمة على OLE في المكونات المُضمَّنة داخل Microsoft 365 وMicrosoft Office. باستغلال هذا الخلل، يمكن لمستند خبيث تجاوز الحمايات المصمَّمة لمنع عناصر COM/OLE الضعيفة من التنفيذ. لا تتفعّل الثغرة عبر جزء المعاينة، مما يتطلب من المستخدم فتح المستند الخبيث فعلياً.
كانت إجراءات حماية OLE واحدة من أكثر الدفاعات فعالية ضد الهجمات القائمة على المستندات، وتجاوزها يمثل تراجعاً كبيراً في الوضع الأمني لكل مؤسسة تعتمد على Microsoft Office. رُصدت الثغرة في هجمات مستهدفة حيث يُعد تبادل المستندات عملية تجارية أساسية.
CVE-2026-21533: تصعيد صلاحيات خدمات سطح المكتب البعيد (درجة CVSS 7.8)
يظل بروتوكول سطح المكتب البعيد (RDP) واحداً من أكثر تقنيات الوصول عن بُعد انتشاراً في بيئات المؤسسات. هذه الثغرة لتصعيد الصلاحيات، الناجمة عن إدارة صلاحيات غير سليمة في خدمات سطح المكتب البعيد لـ Windows، سمحت لمهاجم محلي مُصادق عليه ذي صلاحيات منخفضة بالتصعيد إلى مستوى SYSTEM على الجهاز المستهدف.
اكتشفت CrowdStrike هذه الثغرة وأبلغت Microsoft بها. كشف البحث الاستقرائي لاستخبارات CrowdStrike أن جهات التهديد كانت تستخدم ملف الاستغلال التنفيذي في البرية لاستهداف كيانات في الولايات المتحدة وكندا منذ 24 ديسمبر 2025 على الأقل — أي نحو سبعة أسابيع قبل إصدار التصحيح. يُعدّل الاستغلال مفتاح تكوين خدمة، مستبدلاً إياه بمفتاح يتحكم فيه المهاجم يُمكّن من تصعيد الصلاحيات، بما في ذلك إضافة مستخدم جديد إلى مجموعة المسؤولين.
عملياً، أي مستخدم يمكنه إنشاء جلسة RDP — بما في ذلك المستخدمون ذوو الوصول المقيد أو المهاجمون الذين حصلوا على وصول أولي عبر بيانات اعتماد منخفضة الصلاحيات مخترقة — يمكنه التصعيد إلى التحكم الكامل بالنظام. أضافت CISA هذه الثغرة إلى كتالوج KEV بموعد معالجة 3 مارس 2026.
CVE-2026-21519: تصعيد صلاحيات مدير نوافذ سطح المكتب (درجة CVSS 7.8)
مدير نوافذ سطح المكتب (DWM) — مكوّن النظام المسؤول عن تأثيرات العرض المرئي بما فيها الشفافية والصور المصغرة ورسوم النوافذ المتحركة — احتوى على ثغرة خلط أنواع (CWE-843: الوصول إلى مورد باستخدام نوع غير متوافق) يمكن استغلالها من مهاجم محلي لتنفيذ كود عشوائي بصلاحيات SYSTEM.
تحدث ثغرات خلط الأنواع عندما يعامل البرنامج بيانات كنوع مختلف عن المقصود، مما يؤدي إلى فساد ذاكرة يمكن للمهاجمين استغلاله. تطلبت ثغرة DWM وصولاً محلياً، مما يجعلها مفيدة بشكل أساسي كتقنية تصعيد صلاحيات في هجمات متعددة المراحل. تضمن الاستغلال المرصود ربط الثغرة مع استغلال وصول أولي لتحقيق اختراق كامل للنظام من تفاعل مستخدم واحد.
CVE-2026-21525: رفض خدمة مدير اتصال الوصول البعيد (درجة CVSS 6.2)
كانت ثغرة يوم الصفر السادسة ثغرة رفض خدمة في مدير اتصال الوصول البعيد لـ Windows (RasMan)، ناجمة عن إلغاء مرجع مؤشر فارغ. بينما تُعتبر ثغرات رفض الخدمة عادةً أقل خطورة من ثغرات تنفيذ الكود، كانت هذه الثغرة مهمة عملياً لأن RasMan هو الخدمة المسؤولة عن الحفاظ على اتصالات VPN بشبكات المؤسسات.
تسبب الاستغلال في تعطل خدمة RasMan، مما أدى إلى تعطيل ميزات اتصال VPN التي تعتمد عليها. اكتُشفت الثغرة عبر مستودع برمجيات خبيثة متاح للعموم، ورغم درجة CVSS المتوسطة، كسبت مكانها في كتالوج KEV التابع لـ CISA إلى جانب ثغرات يوم الصفر الخمس الأعلى خطورة بسبب استغلالها النشط.
عامل Adobe: 44 ثغرة إضافية
مما ضاعف ثغرات Microsoft، عالج تحديث Adobe الأمني لفبراير 2026 عدد 44 ثغرة عبر تسع نشرات منتجات تغطي Audition وAfter Effects وInDesign Desktop وSubstance 3D Designer وSubstance 3D Stager وSubstance 3D Modeler وBridge وLightroom Classic وحزمة تطوير DNG SDK. حصلت 27 منها على تصنيفات خطورة حرجة، مع إمكانية تنفيذ كود عشوائي عند الاستغلال الناجح. بقية الثغرات صُنفت مهمة، تغطي كشف الذاكرة ومشكلات رفض الخدمة.
تلاقي ثغرات Microsoft وAdobe في نفس دورة التحديث يخلق خطراً مُضاعفاً للمؤسسات. المدافعون الذين يُعطون الأولوية لتصحيح منتجات مزود على حساب الآخر يظلون مكشوفين عبر مسارات هجوم مستقلة متعددة.
إعلان
ما يكشفه الاتساع عن جهات التهديد
الاستغلال النشط المتزامن لست ثغرات يوم صفر عبر مكونات Windows مختلفة ليس عشوائياً. يكشف عدة أمور عن الوضع الحالي لمشهد التهديدات.
أولاً، يؤكد الاتساع وجود مجموعات تهديد متعددة تستغل ثغرات مختلفة بشكل مستقل. اكتشفت CrowdStrike ثغرة RDP (CVE-2026-21533) عبر عملها في الاستجابة للحوادث، بينما ربطت Akamai خلل MSHTML (CVE-2026-21513) بمجموعة APT28 الروسية. تنوع المكونات المتأثرة وأنماط الاستغلال المختلفة يؤكد الاستغلال المتوازي من جهات مختلفة بقدرات وأهداف مختلفة.
ثانياً، وجود سلاسل استغلال — ثغرات مصمَّمة للاستخدام معاً، مثل تصعيد صلاحيات DWM المُسلسل مع استغلال وصول أولي — يشير إلى جهات متطورة تطوّر وتحتفظ بحافظات استغلال يوم صفر. تحويل سوق الاستغلال إلى سلعة جعل الاستغلال المُسلسل متاحاً لنطاق أوسع من مجموعات التهديد يتجاوز الجهات الحكومية التقليدية.
ثالثاً، استهداف المكونات القديمة — MSHTML بشكل خاص — يُظهر أن المهاجمين يُنقّبون بنشاط في الكود المُتقاعد بحثاً عن ثغرات. خلل `ieframe.dll` في CVE-2026-21513 يستغل منطق التنقل عبر الروابط في مكوّن يعتقد معظم المستخدمين أنه تقاعد مع Internet Explorer، لكنه يظل مُضمَّناً بعمق في Windows. سطح الهجوم القديم هذا خطر مستمر ومتنامٍ.
تحدي فرز التصحيحات
بالنسبة لفرق أمن المؤسسات، ست ثغرات يوم صفر متزامنة تخلق أزمة فرز. تفترض عمليات إدارة الثغرات القياسية — التقييم والأولوية والاختبار والنشر — أن المؤسسات لديها وقت لتقييم التصحيحات قبل نشرها. عندما تكون الثغرات قيد الاستغلال النشط بالفعل، مع إلزام CISA بالمعالجة بحلول 3 مارس، تتغير المعادلة: خطر نشر تصحيح غير مُختبر يُوزن مقابل يقين الاستغلال الجاري.
عدة عوامل تُعقّد النشر السريع. تتطلب بيئات المؤسسات عادةً اختبار التصحيحات لضمان التوافق مع التطبيقات الحرجة قبل النشر الواسع. بعض الأنظمة — التكنولوجيا التشغيلية والأجهزة الطبية والتطبيقات القديمة — لا يمكن تصحيحها بسهولة دون خطر التعطيل التشغيلي. القوى العاملة البعيدة والموزعة تعني أنه ليس كل نقاط النهاية قابلة للوصول فوراً لنشر التصحيحات.
عزّز يوم تحديث ثلاثاء فبراير 2026 الحجة لأنظمة إدارة التصحيحات الآلية التي يمكنها نشر التحديثات الأمنية الحرجة بأقل تدخل يدوي. المؤسسات التي طبّقت النشر الآلي للتصحيحات المُصنّفة أمنياً تمكنت من بدء المعالجة خلال ساعات، بينما لا تزال تلك المعتمدة على العمليات اليدوية تُجري تقييمات التأثير عندما كانت الاستغلالات نشطة بالفعل ضد أنظمتها.
توصيات دفاعية
بخلاف التصحيح — الذي يجب معاملته كحالة طوارئ لجميع الثغرات الست — يجب على المؤسسات اتخاذ عدة خطوات دفاعية إضافية.
تعطيل أو تقييد عرض MSHTML حيثما أمكن، خاصة في عملاء البريد الإلكتروني. تكوين أنظمة البريد لعرض الرسائل بنص عادي افتراضياً. تفعيل قواعد تقليل سطح الهجوم (ASR) في Microsoft Defender التي تمنع تطبيقات Office من إنشاء عمليات فرعية ومن إنشاء محتوى قابل للتنفيذ.
تقييد وصول RDP إلى النطاق الأدنى المطلوب. تطبيق متطلبات المصادقة على مستوى الشبكة، وفرض المصادقة متعددة العوامل (MFA) لجميع جلسات RDP، واستخدام حلول إدارة الوصول المميز التي توفر وصول RDP في الوقت المناسب بدلاً من الوصول الدائم. نظراً لاستغلال CVE-2026-21533 في البرية منذ ديسمبر 2025، يجب على المؤسسات مراجعة سجلات وصول RDP بحثاً عن علامات اختراق سابق.
نشر أدوات كشف واستجابة نقاط النهاية (EDR) بقدرات كشف سلوكية تستطيع تحديد محاولات الاستغلال بغض النظر عن الثغرة المحددة المُستغلة. أنماط الهجوم المرتبطة بهذه الثغرات — إنشاء عمليات غير عادية، وتغييرات صلاحيات غير متوقعة، وتعديلات شاذة لتكوين الخدمات — قابلة للكشف عبر التحليل السلوكي حتى قبل توفر توقيعات كشف محددة.
مراجعة وتعزيز ضوابط أمن البريد الإلكتروني، حيث كان البريد الإلكتروني متجه التسليم الأساسي لعدة من الثغرات المُستغلة. يشمل ذلك تصفية المرفقات، وإعادة كتابة وفحص عناوين URL، والتحليل المعزول للمرفقات المشبوهة.
الأسئلة الشائعة
ما المقصود بـ Six Zero-Days Under Active Attack؟
يتناول هذا المقال الجوانب الأساسية لهذا الموضوع، ويستعرض الاتجاهات الحالية والجهات الفاعلة الرئيسية والتداعيات العملية على المهنيين والمؤسسات في عام 2026.
لماذا يُعد هذا الموضوع مهمًا؟
يكتسب هذا الموضوع أهمية كبيرة لأنه يؤثر بشكل مباشر على كيفية تخطيط المؤسسات لاستراتيجيتها التقنية وتخصيص مواردها وتموضعها في مشهد سريع التطور.
ما أبرز النقاط المستخلصة من هذا المقال؟
يحلل المقال الآليات الرئيسية والأطر المرجعية والأمثلة الواقعية التي تشرح كيفية عمل هذا المجال، مستندًا إلى بيانات حديثة ودراسات حالة عملية.
المصادر والقراءات الإضافية
- Microsoft February 2026 Patch Tuesday Fixes 6 Zero-Days, 58 Flaws — BleepingComputer
- 6 Actively Exploited Zero-Days Patched by Microsoft With February 2026 Updates — SecurityWeek
- APT28 Tied to CVE-2026-21513 MSHTML 0-Day Exploited Before Feb 2026 Patch Tuesday — The Hacker News
- Inside the Fix: Analysis of In-the-Wild Exploit of CVE-2026-21513 — Akamai
- The February 2026 Security Update Review — Zero Day Initiative
- Patch Tuesday: Adobe Fixes 44 Vulnerabilities in Creative Apps — SecurityWeek
