في عالم الأمن السيبراني، لا يكون الخطر دائماً في البرامج المجهولة أو الملفات المشبوهة فقط؛ أحياناً قد يأتي القلق من أداة الحماية نفسها عندما تظهر فيها ثغرات يمكن استغلالها. هذا ما يجعل تحديث Microsoft Defender الأخير مهماً، بعدما كشفت تقارير أمنية أن مايكروسوفت عالجت ثغرتين تم استغلالهما فعلاً في هجمات، ما يفرض على مستخدمي ويندوز والشركات التحقق بسرعة من وصول التحديثات.
ما الذي أصلحته مايكروسوفت؟
أصدرت مايكروسوفت تحديثات أمنية لمعالجة ثغرتين في Microsoft Defender، وهو الاسم الحديث لما يعرفه كثير من المستخدمين باسم Windows Defender. الثغرة الأولى تحمل الرمز CVE-2026-41091، وتتعلق بمشكلة في طريقة تعامل Defender مع الروابط قبل الوصول إلى الملفات، ما قد يسمح لمهاجم لديه وصول محلي برفع الصلاحيات إلى مستوى SYSTEM. أما الثغرة الثانية، CVE-2026-45498، فهي خلل من نوع حجب الخدمة يمكن أن يعطل عمل الحماية على الجهاز المتأثر.
لماذا تبدو الثغرة الأولى أكثر حساسية؟
تكمن خطورة CVE-2026-41091 في أنها قد تمنح المهاجم صلاحيات واسعة جداً داخل النظام إذا نجح في استغلالها. وصلاحية SYSTEM في ويندوز تعد من أعلى مستويات التحكم، لأنها قد تتيح تنفيذ أوامر وتغيير إعدادات والتعامل مع ملفات وخدمات حساسة. لذلك، حتى إذا كان الاستغلال يتطلب وجوداً محلياً أو وصولاً سابقاً للجهاز، فإن الخطر يظل مهماً داخل بيئات العمل أو الأجهزة المشتركة.
الثغرة الثانية: تعطيل الحماية قد يفتح الباب لهجمات أخرى
أما CVE-2026-45498 فلا ترتبط مباشرة بالسيطرة الكاملة على الجهاز، لكنها قد تسمح بإدخال Defender في حالة توقف أو خلل. وهذا النوع من الثغرات مهم لأن تعطيل برنامج الحماية، ولو مؤقتاً، قد يمنح البرمجيات الخبيثة فرصة أكبر للعمل أو التخفي. لهذا لا ينبغي التقليل من خطورة ثغرة حجب الخدمة عندما تمس أداة أمنية أساسية.
هل يجري استغلال الثغرات فعلاً؟
بحسب تقارير أمنية، أقرت مايكروسوفت بأن الثغرتين تم رصدهما ضمن هجمات فعلية، كما أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية CISA الثغرتين في قائمة الثغرات المعروفة المستغلة. هذا الإدراج يعني أن المسألة ليست مجرد احتمال نظري، بل ثغرات لها نشاط استغلال معروف وتحتاج معالجة سريعة.
ما الإصدارات التي تعالج الخلل؟
تشير التقارير التقنية إلى أن إصلاح ثغرة التصعيد في الصلاحيات تم ضمن إصدار Microsoft Malware Protection Engine رقم 1.1.26040.8، بينما عولج خلل حجب الخدمة ضمن Microsoft Defender Antimalware Platform رقم 4.18.26040.7. وفي الإعدادات الافتراضية، يفترض أن تصل هذه التحديثات تلقائياً إلى أغلب الأجهزة، لكن التحقق اليدوي يبقى خطوة مهمة، خصوصاً في الشركات أو الأجهزة التي تعطل التحديثات التلقائية.
كيف يتحقق المستخدم من التحديث؟
يمكن للمستخدم فتح تطبيق Windows Security، ثم الدخول إلى قسم Virus & threat protection، وبعدها Protection updates، ثم الضغط على Check for updates. كما يمكن مراجعة صفحة About داخل إعدادات الحماية للتحقق من رقم إصدار منصة مكافحة البرمجيات الخبيثة. هذه الخطوات بسيطة، لكنها قد تكون حاسمة في إغلاق نافذة استغلال خطيرة.
ماذا عن الشركات ومديري الأنظمة؟
بالنسبة للمؤسسات، لا يكفي الاعتماد على أن التحديث سيصل تلقائياً إلى كل الأجهزة. الأفضل مراجعة لوحات إدارة الأجهزة، التأكد من إصدارات Defender على الحواسيب والخوادم، إعطاء أولوية للأجهزة الحساسة، ومراقبة أي مؤشرات على تعطيل الحماية أو محاولات رفع صلاحيات غير مبررة. كما ينبغي الانتباه إلى الأجهزة القديمة أو المعزولة عن الإنترنت لأنها قد لا تستقبل التحديثات بانتظام.
درس أوسع: برامج الحماية تحتاج إلى حماية أيضاً
تكشف هذه الواقعة حقيقة مهمة: برامج الحماية نفسها جزء من سطح الهجوم، لأنها تعمل بصلاحيات عالية وتتفاعل مع الملفات والعمليات يومياً. لذلك فإن تحديث أدوات الحماية لا يقل أهمية عن تحديث نظام التشغيل أو المتصفح. كما أن الاعتماد على برنامج واحد دون مراقبة وتحديث وإدارة سليمة قد يترك فجوات تستغلها الهجمات الحديثة.
إصلاح مايكروسوفت لثغرتين مستغلتين في Microsoft Defender يذكر المستخدمين والشركات بأن الأمن لا يتوقف عند تثبيت برنامج حماية فقط، بل يبدأ من تحديثه باستمرار. المطلوب الآن بسيط وواضح: التحقق من وصول تحديثات Defender، عدم تأجيل تحديثات ويندوز، ومراقبة أي سلوك غير عادي في الأجهزة، خصوصاً داخل بيئات العمل.
من شروط النشر : عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الإلهية، والابتعاد عن التحريض العنصري والشتائم.
بإمكانكم تغيير عرض التعليقات حسب الاختيارات أسفله