تحذير سيبراني من استغلال ثغرة في Microsoft Configuration Manager 

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تنبيهاً عاجلاً بشأن ثغرة أمنية من نوع حقن SQL (SQL Injection) تستهدف منصة Microsoft Configuration Manager، المعروفة اختصاراً بأسماء مثل SCCM أو ConfigMgr. يأتي هذا التحذير بعد رصد مؤشرات تؤكد استغلال هذه الثغرة في هجمات فعلية على شبكات حقيقية.

تحمل الثغرة المعرف الدولي CVE-2024-43468، وتكمن خطورتها في سماحها لمهاجم خارجي، لا يملك صلاحيات وصول أو تسجيل دخول، بإرسال طلبات بيانات مصممة بدقة إلى مكونات المنصة. تؤدي هذه الطلبات إلى تنفيذ استعلامات غير مشروعة داخل قاعدة البيانات المرتبطة بالمنصة، ما قد يتطور إلى سيطرة كاملة على الخادم أو قاعدة البيانات، اعتماداً على طبيعة الصلاحيات الممنوحة للنظام.

وتبرز أهمية هذا التحذير كون Microsoft Configuration Manager ليس مجرد أداة ثانوية، بل هو النظام المركزي المسؤول عن إدارة أجهزة Windows في المؤسسات الكبرى والجهات الحكومية، بما يشمل توزيع البرامج، وتثبيت التحديثات الأمنية، وإدارة الإعدادات. وبناءً عليه، فإن أي اختراق لهذه المنصة يمنح المهاجم نقطة ارتكاز قوية للانتشار داخل الشبكة بالكامل، والتحكم في مسارات التحديثات أو التلاعب بسياسات النشر، وهو سيناريو يهدد استقرار العمليات التشغيلية حتى قبل الوصول إلى أجهزة المستخدمين النهائيين.

الجدول الزمني للإصلاح وخيارات الحد من المخاطر

في 12 فبراير 2026، أدرجت CISA هذه الثغرة ضمن كتالوج الثغرات المعروفة والمستغلة (KEV)، وحددت يوم 5 مارس 2026 كآخر موعد لتطبيق الإصلاحات اللازمة في الوكالات الفيدرالية الأمريكية. ويعد هذا الإدراج مؤشراً على انتقال الثغرة من خانة الخطر المحتمل إلى التهديد القائم، لوجود أدلة تقنية على استخدامها في هجمات. وتشير البيانات الحالية إلى أن استخدام هذه الثغرة في هجمات فدية لم يتأكد علنياً حتى لحظة صدور التقرير.

تتمثل الثغرة تقنياً في معالجة غير آمنة للبيانات المدخلة التي تصل إلى نقاط الإدارة (Management Points). وبتبسيط المفهوم، فإن حقن SQL يعني استغلال المهاجم لثغرة في طريقة استقبال النظام للبيانات، حيث يقوم بإدخال أوامر برمجية خاصة بقواعد البيانات بدلاً من البيانات العادية، مما يخدع النظام ويجعله ينفذ تلك الأوامر مباشرة. أما نقطة الإدارة فهي المكون المسؤول عن التواصل بين أجهزة الموظفين وبين خادم الإدارة المركزي لنقل الإعدادات والسياسات.

وعلى صعيد الاستجابة العملية، تبرز 4 أولويات أساسية للمؤسسات:

1. حصر الأصول وتقييد الوصول: تحديد كافة خوادم Microsoft Configuration Manager والتأكد من عدم تعرض نقاط الإدارة لشبكات غير موثوقة، مع ضرورة عزل المنافذ والخدمات الحساسة وحصر الوصول إليها في أضيق نطاق ممكن.
2. تطبيق التحديثات الرسمية: تثبيت التحديثات الصادرة عن شركة Microsoft فوراً، مع إجراء اختبارات استباقية في بيئة تجريبية لضمان عدم تأثر الوظائف الحيوية لإدارة الأجهزة.
3. تكثيف الرقابة الأمنية: مراقبة قواعد بيانات الموقع لرصد أي استعلامات غير طبيعية، ومتابعة التغييرات المفاجئة في سياسات النشر، ورصد أي محاولات لإنشاء حسابات إدارية جديدة أو تعديل الامتيازات.
4. العزل الشبكي: فصل بيئة الإدارة عن بقية أجزاء الشبكة لمنع الحركة الجانبية للمهاجمين، ومراجعة حسابات الخدمة لتقليل صلاحياتها إلى الحد الأدنى الضروري فقط.