يجلب تصحيح أبريل يوم الثلاثاء أيام الصفر في Defender وSharePoint Server
تم إطلاق آخر تحديث شهري لـ Patch Tuesday من Microsoft في وقت سابق من يوم 14 أبريل، بما في ذلك عيبين ملحوظين في يوم الصفر وسط إجمالي يزيد عن 160 مشكلة متميزة، وحوالي 250 مشكلة تتعلق بإصدارات الطرف الثالث وإصدارات Chromium.
وقد وصفه داستن تشايلدز من مبادرة Zero Day التابعة لشركة TrendAI (المعروفة سابقًا باسم Trend Micro) بأنها “وحشية” في نطاقها، وقد يكون من بين أكبر تحديثات تصحيح يوم الثلاثاء في التاريخ. اقترح تشايلدز أنه بناءً على تجربته الخاصة، قد يكون هذا نتيجة لعدد متزايد من الطلبات التي تم الكشف عنها بواسطة أدوات الذكاء الاصطناعي (AI).
وقال جاك بيسر، مدير أبحاث الثغرات الأمنية في Action1: “إن العدد الكبير من التصحيحات، جنبًا إلى جنب مع وجود أيام صفر ومشكلات حرجة متعددة، يجعل هذا الإصدار يستحق الاهتمام الفوري.”
أول ثغرة أمنية هي CVE-2026-32201، وهي ثغرة انتحالية تؤدي إلى البرمجة النصية عبر المواقع (XSS) في Microsoft SharePoint Server، ومن المعروف أنه تم استغلالها بشكل عام، ولكن لم يتم نشرها للعامة بعد. من المفترض أن السبب الجذري للمشكلة هو فشل التحقق من صحة الإدخال الذي يسمح للمهاجم بإدخال نصوص برمجية ضارة من خلال حقول الإدخال التي تم ضبطها بشكل غير صحيح.
على الرغم من أن أول هذه العناصر يحمل درجة منخفضة نسبيًا لنظام تسجيل نقاط الضعف الشائعة (CVSS) تبلغ 6.5، إلا أن مات لي، كبير مهندسي الأمان في Automox، قال إن هذا يقلل من المخاطر التي يتعرض لها المستخدمون لأنه لا يحتاج إلى مصادقة أو امتيازات خاصة.
قال لي: “يمكن أن تستهدف التهديدات الخارجية مثيلات SharePoint التي تواجه الإنترنت مباشرةً. وتحمل خوادم SharePoint المحلية المعرضة للإنترنت أعلى المخاطر. وغالبًا ما يتصل SharePoint بالتخزين الخلفي وخدمات الدليل وأدوات التعاون الداخلي. ويمنح استغلال XSS الناجح للمهاجمين مسارًا أعمق في بيئتك”.
في أحد سيناريوهات الهجوم المحتملة، يمكن تنفيذ JavaScript ضار في متصفح المستخدم الذي يزور صفحة SharePoint المخترقة، مما قد يمكّن المهاجم من سرقة ملفات تعريف الارتباط للجلسة أو رموز المصادقة المميزة للاستيلاء على حساباته. وفي الوقت نفسه، يفتح موطئ قدم XSS إمكانية عمليات إعادة التوجيه للتصيد الاحتيالي أو حتى الحمولات الضارة، مثل برامج الفدية، مما يجعل CVE-2026-32201 مفيدًا في حملة أوسع.
وقال لي إن فرق الأمان يجب أن تكون في حالة تأهب لتنفيذ البرنامج النصي غير المتوقع أو إدخال iframe على صفحات SharePoint التي يمكن الوصول إليها خارجيًا، أو إعادة استخدام رمز الجلسة أو أحداث المصادقة غير المتوقعة من عناوين IP غير المعروفة، وشكاوى المستخدمين من عمليات إعادة التوجيه غير المتوقعة أو مطالبات تسجيل الدخول عند زيارة صفحات SharePoint.
بالإضافة إلى التصحيح الفوري، يجب على فرق الأمان مراجعة تعرضهم لـ SharePoint، وإعطاء الأولوية للمثيلات المحلية التي يمكن الحصول عليها من الإنترنت العام، ومراجعة رؤوس سياسة أمان المحتوى (CSP) على مثيلات SharePoint، ومراقبة سجلات المصادقة بحثًا عن السلوك الغريب.
الثغرة الثانية، CVE-2026-33825، هي ثغرة في ارتفاع الامتياز (EoP) في Microsoft Defender – وقد تم الإعلان عن هذا، ولكن لا يُعتقد حتى الآن أنه تم استغلاله.
وأوضح بيسر من Action1 أن هذا الخلل ينبع من “عدم كفاية التفاصيل” في التحكم في الوصول، مما يحول ما ينبغي أن يكون وصولاً محدودًا إلى تحكم كامل. وقال: “ما يبدأ كموطئ قدم يمكن أن يصبح بسرعة هيمنة كاملة على النظام”.
وتابع بيسر: “يسمح الخلل للمهاجم المحلي الذي يتمتع بامتيازات منخفضة باستغلال آليات تنفيذ الأذونات غير المناسبة. ومن خلال الاستفادة من نقطة الضعف هذه، يمكن للمهاجم تنفيذ تعليمات برمجية أو إجراءات بامتيازات مرتفعة، مما يؤدي في النهاية إلى الوصول إلى مستوى النظام. ويعد هذا النوع من الثغرات خطيرًا بشكل خاص لأنه يمكن ربطه مع عمليات استغلال أخرى لتوسيع الوصول الأولي إلى اختراق النظام بالكامل.”
وأوضح أن CVE-2026-33825 على هذا النحو يمثل خطرًا متزايدًا في أي بيئة أنشأ فيها المهاجم نفسه بالفعل. وإذا تم استغلالها بنجاح، فإنها يمكن أن تسمح للمهاجمين بالسيطرة الكاملة على نقاط النهاية الخاصة بالمؤسسة، مما يمكنهم من سرقة البيانات، وإيقاف تشغيل أدوات الأمان، والانتقال عبر الشبكات إلى أهداف أكثر أهمية.
وقال بيسر: “حتى البيئات التي تتمتع بدفاعات محيطية قوية تكون معرضة للخطر إذا تعرضت الأنظمة الداخلية للخطر”.
“إثبات المفهوم [PoC] رمز الاستغلال متاح، وتم الكشف عن الثغرة الأمنية علنًا. وفي حين لم يتم تأكيد أي استغلال نشط، فإن وجود كود إثبات المفهوم (PoC) يزيد من احتمالية وقوع هجمات في العالم الحقيقي.
خلل الكروم
يتضمن إسقاط أبريل 2026 أيضًا ثغرة يوم الصفر الثالثة، CVE-2026-5281، وهي مشكلة تتعلق بتنفيذ التعليمات البرمجية عن بُعد (RCE) تؤثر على متصفحات Chromium الناشئة عن الاستخدام بعد الحالة المجانية في Google Dawn WebGPU. تم الكشف عن هذا مسبقًا وإضافته إلى كتالوج الثغرات الأمنية المستغلة المعروفة (Kev) التابع لوكالة الأمن السيبراني وأمن البنية التحتية (Cisa’s) في وقت سابق من شهر أبريل.
قال جين مودي، كبير مسؤولي التكنولوجيا في مجال Action1، إن الثغرات الأمنية القائمة على المتصفح هي واحدة من أكثر فئات المخاطر غير المتماثلة والخطرة.
وقال مودي: “إنها تحول كل مستخدم إلى نقطة دخول للتجوال، مما يؤدي بشكل فعال إلى توسيع سطح الهجوم إلى أي مكان ينقر عليه الموظف. وعندما يتم الكشف عن خلل خطير في المتصفح، تختلف حسابات المخاطر بشكل أساسي”.
“هذه ليست خدمة تجلس بهدوء على الحافة في انتظار اكتشافها، إنها بيئة تنفيذ مستخدمة بشكل نشط لتحليل محتوى غير موثوق به طوال اليوم. إن تأخير التصحيح في هذا السياق يعادل السماح للمستخدمين عن عمد بالعمل في بيئة معادية ذات دفاعات متدهورة.
وأضاف: “تعطي الجهات الفاعلة في مجال التهديد الأولوية للوصول الأولي قبل كل شيء. وتعتبر عمليات استغلال المتصفح فعالة بشكل فريد لأنها تقلل المسافة بين المهاجم والهدف”.
أخيرًا، يتضمن تحديث يوم الثلاثاء لشهر أبريل ثمانية عيوب تم تصنيفها على أنها حرجة من حيث خطورتها. وهي بالترتيب العددي:
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
