ثغرة في خوادم Microsoft Exchange تُنشر علناً مع نموذج استغلال برمجى 

نموذج استغلال علني يحول ثغرة في خوادم Microsoft Exchange إلى ممر لتسريب البيانات الحيوية.

ثغرة في خوادم Microsoft Exchange تُنشر علناً مع نموذج استغلال برمجى 
نموذج استغلال علني يحول ثغرة في خوادم Microsoft Exchange إلى ممر لتسريب البيانات الحيوية.

أتاح باحثو الأمن السيبراني تفاصيل تقنية شاملة ونموذج استغلال برمجي علني (PoC) لثغرة أمنية حرجة (CVE-2026-45504 بتقييم CVSS عند 8.8) تصيب خوادم Microsoft Exchange، الأمر الذي يفرض على المؤسسات الإسراع في تطبيق التحديثات الأمنية اللازمة لتفادي تحول هذا الخلل إلى ممر للهجمات الفعلية. وتسمح هذه الثغرة، التي اكتشفتها شركة HawkTrace المتخصصة في اختبار الاختراق، لمستخدم مصادق يمتلك صلاحيات محدودة بقراءة ملفات عشوائية من ذاكرة الخادم.

تعود جذور الثغرة إلى خلل من فئة تزوير الطلبات من جانب الخادم (SSRF) يظهر في آلية معالجة المرفقات التي تستعين بخدمة WOPI لإعداد معاينات المستندات المخزنة في منصتي SharePoint أو OneDrive. وطبقاً للتحليل التقني الصادر عن HawkTrace في 24 يونيو 2026، فإن مكمن الضعف يقع في مكون داخلي يدعى OneDriveProUtilities، وبالأخص ضمن الدوال المعنية بجلب روابط المعاينة ورموز الوصول الخاصة بالمستندات؛ حيث يمرر الخادم رابط URL يتحكم فيه المهاجم مباشرة إلى دالة WebRequest.CreateHttp في مكتبة النظام دون التحقق الكافي من سلامة المدخلات، ما يتيح توجيه الخادم لإرسال طلبات HTTP إلى وجهات خارجية غير موثوقة.

وتبدأ مراحل الاستغلال عندما يقوم المهاجم، عبر خدمة Exchange Web Services (EWS)، بإنشاء مرفق مرجعي يتضمن حقل ProviderEndpointUrl موجه نحو خادم يقع تحت سيطرته. وبمجرد محاولة أي مستخدم استعراض هذا المرفق، يرسل خادم Exchange طلباً إلى خادم المهاجم لاسترداد بيانات WOPI الوصفية، ليرد الخادم المخترَق بقيمة WebApplicationUrl معدلة ومحقونة بمسار ملف محلي عبر بروتوكول file:// (مثل file:///C:/Windows/win.ini). ومع إلحاق رمز التجزئة # بنهاية المسار، يتغاضى الخادم عن أي معاملات إضافية تُلحق تلقائياً، فيتحول الطلب من طلب HTTP اعتيادي إلى FileWebRequest يتجه مباشرة لنظام الملفات المحلي، ومن ثم يجلب محتوى الملف المستهدف ويعيده إلى المهاجم.

هذا القصور في التحقق من بروتوكول الرابط، المتمثل في وثوق الخادم بأي استجابة صادرة عن نقاط نهاية WOPI دون حظر البروتوكولات غير المصرح بها مثل file://، يؤدي بالتبعية إلى تحويل هجوم SSRF إلى وسيلة للقراءة غير المصرح بها للملفات الحساسة، مما يمنح المهاجم القدرة على استخراج ملفات إعدادات الخادم، وبيانات الاعتماد المخزنة، بالإضافة إلى معلومات الخدمات الداخلية.

المعلومة التفصيل
معرّف الثغرة (CVE) CVE-2026-45504
نوع الثغرة تزوير الطلبات من جانب الخادم (SSRF) يؤدي لقراءة ملفات
درجة الخطورة (CVSS 3.1) 8.8 (عالية)، الناقل: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
الأنظمة المتأثرة Microsoft Exchange Server 2016 CU23, 2019 CU14, 2019 CU15, وSubscription Edition RTM (إصدارات قبل التحديث الأمني)
التحديث المُعالج التحديث الأمني الصادر في 9 يونيو 2026 (KB5094139) لإصدار Subscription Edition RTM، وتحديثات منفصلة للإصدارات الأقدم
حالة الاستغلال العلني متوفر على GitHub عبر HawkTrace، مع أدوات آلية لطلب ملفات مثل hosts وwin.ini

وقد شكل نشر النموذج البرمجي للاستغلال بالتزامن مع التفاصيل التقنية في مدونة HawkTrace بتاريخ 3 يوليو 2026 تصعيداً واضحاً في مستوى التهديد، نظراً لأن توافر هذا النموذج يبسط مهمة تنفيذ الهجوم لمهاجمين يمتلكون مهارات تقنية متواضعة. وكانت شركة Microsoft قد طرحت معالجاتها الأمنية لهذه الثغرة ضمن حزمة تحديثات يونيو 2026 الصادرة في التاسع من الشهر، وفقاً لوثيقة الدعم KB5094139 الموجهة لنسخة Exchange Server Subscription Edition RTM. وتؤكد قاعدة بيانات الثغرات الوطنية (NVD) التابعة للمعهد الوطني للمعايير والتقنية (NIST) تأثر كافة إصدارات Exchange Server 2016 و2019 ونسخة الاشتراك بهذا الخلل طالما لم يتم تطبيق التصحيحات البرمجية.

ويعيد هذا التطور تسليط الضوء على الأخطار المتجددة لثغرات SSRF ضمن برمجيات المؤسسات ذات البنية المعقدة. ومع أن الاستغلال يتطلب حساباً مصادقاً عليه بصلاحيات منخفضة كشرط أولي، فإن اقتران ضعف التحقق من المدخلات بآليات الثقة الداخلية يحول هذا الضعف إلى أداة لتسريب البيانات الحيوية. ويرى الباحثون أن تكرار ظهور مثل هذه الثغرات في بيئة Microsoft Exchange، التي تمثل ركيزة أساسية لخدمات البريد الإلكتروني والتقويم والعمل المشترك، يفرض ضرورة مراجعة وتدقيق معالجة الروابط الخارجية وفرض التحقق الصارم من البروتوكولات المستخدمة عند كل نقطة تكامل برمجية.

وتبرز أهمية الإجراءات العاجلة للمؤسسات التي تدير خوادم Exchange محلياً عبر المبادرة بتثبيت التحديثات الأمنية المتاحة على الفور. وإلى جانب هذه الرقع البرمجية، تحث Microsoft على تفعيل ميزة “الحماية الموسعة” المدمجة في الإصدارات الحديثة من Exchange، مع وضع قيود على الاتصالات الصادرة من الخادم تجاه نقاط النهاية غير الموثوقة، وحظر البروتوكولات غير الضرورية مثل file:// عبر جدار الحماية أو من خلال الإعدادات الداخلية للخادم. كما يوصي خبراء الأمن بفحص سجلات الخوادم لرصد أي أنماط غير اعتيادية لطلبات WOPI قد تشير إلى محاولات استغلال، مع إمكانية استخدام أداة Exchange Server Health Checker الرسمية للتحقق من سلامة البيئة بعد إتمام التحديث.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى