أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إدراج الثغرة الأمنية (CVE-2026-33825 بتقييم CVSS عند 7.8)، والمعروفة باسم BlueHammer، ضمن فهرس الثغرات المستغلة فعلياً.
تستهدف هذه الثغرة Microsoft Defender، وتتيح للمهاجمين رفع الامتيازات بعد إتمام عملية المصادقة وفقاً لتوصيف شركة Microsoft. وأظهرت تقارير الرصد الميداني أن عمليات استغلال الثغرة بدأت قبل إصدار التحديثات الرسمية المعالجة لها.
وقد ظهرت التفاصيل التقنية الخاصة بالاستغلال للعلن في 2 أبريل 2026، وذلك قبل طرح شركة Microsoft تحديثاتها الأمنية في 14 أبريل 2026.
رصد ميداني يكشف انتقال الثغرة إلى تسلسل اختراق أوسع داخل البيئات المستهدفة
أشارت شركة Huntress إلى رصدها استخدام أدوات مرتبطة بثغرة BlueHammer في هجوم سيبراني فعلي، وأوضحت أن هذا النشاط لم يقتصر على كونه اختباراً تقنياً أو استعراضاً لنموذج إثبات المفهوم، بل جاء كجزء من سلسلة اختراق أوسع نطاقاً شملت تحركات لاحقة داخل الأنظمة المستهدفة.
ووفقاً للشركة، يقع هذا الاستغلال ضمن فئة ثغرات رفع الامتيازات المحلية. وتمنح هذه الفئة المهاجمين قدرة أكبر على استخلاص بيانات الاعتماد، وضمان البقاء داخل الأنظمة، وتوسيع نطاق حركتهم داخل الشبكة بعد نجاحهم في تحقيق الوصول الأولي. وتنبع خطورة هذه الفئة من كونها لا تمثل البداية المعتادة للهجوم، لكنها توفر عمقاً تشغيلياً مهماً للمهاجمين عقب نجاح الاختراق الأولي.
وحتى الآن، ما تزال التفاصيل المتعلقة بالجهة المهاجمة التي توظف هذه الثغرة في هجمات الفدية غير معلنة بشكل موثق، حيث لم تحدد CISA أو Microsoft هوية المجموعة المسؤولة عن هذه العمليات.









