تواجه بيئات العمل الرقمية المعتمدة على منظومة Microsoft Defender ضغوطاً أمنية متزايدة، وذلك عقب الكشف العلني عن أدوات هجومية جديدة. بدأ هذا التصعيد بإعلان باحث أمني، يلقب نفسه Chaotic Eclipse وNightmare Eclipse، عن تطوير نموذجين برمجيين لإثبات المفهوم (PoC) تحت مسمى RedSun وUnDefend؛ واللذين يهدفان إلى إثبات وجود ثغرات أمنية فاعلة.
يأتي هذا التطور بعد فترة وجيزة من ظهور أداة BlueHammer المرتبطة بثغرة تتيح رفع الصلاحيات محلياً داخل نظام التشغيل، ما يوفر للمهاجمين وسائل تقنية لتعطيل آليات الحماية أو تجاوز قيود النظام الأساسية.
تستهدف هذه الأدوات نظام Microsoft Defender بآليات عمل متباينة؛ حيث تستغل أداة RedSun ثغرة لرفع الامتيازات (EoP) تتيح للمستخدم العادي الحصول على حقوق وصول إدارية واسعة. في المقابل، تمنح أداة UnDefend المستخدم القدرة على إيقاف تحديثات التواقيع الأمنية أو تعطيل البرنامج كلياً عند صدور تحديثات رئيسية من شركة Microsoft.
تزامنت هذه الأنشطة مع إصدار شركة Microsoft تحديثاً أمنياً، لمعالجة الثغرة (CVE-2026-33825 بتقييم CVSS عند 7.8). وقد صنف سجل NVD هذه الثغرة بأنها ناتجة عن ضعف في آليات التحكم في الوصول، مؤكداً أن استغلالها يؤدي إلى حصول المهاجم على صلاحية SYSTEM، وهي أعلى رتبة تحكم وإدارة داخل بيئة Windows.
المسار الزمني وتطور النشاط الهجومي الميداني
يكشف التسلسل الزمني للأحداث عن تداخل دقيق بين جهود البحث الأمني وعمليات الاستغلال الفعلي؛ فقد نشر الباحث أداة BlueHammer في الثالث من أبريل 2026، مشيراً إلى تعثر محاولات التواصل مع مركز الاستجابة الأمنية في Microsoft. وعقب مرور أحد عشر يوماً، طرحت الشركة التحديث الرسمي، إلا أن الباحث عاد في السادس عشر من الشهر ذاته لينشر أداتي RedSun وUnDefend عبر منصة GitHub، حيث ظلتا متاحتين للتحميل رغم التحذيرات التقنية الصادرة.
وقد أكد خبراء أمنيون، من بينهم المحلل Will Dormann، فاعلية أداة RedSun وقدرتها التقنية على تحقيق أهدافها في بيئات الاختبار. أما على صعيد العمليات الميدانية، فقد رصدت شركة Huntress المتخصصة في الأمن السيبراني استخدام أداة BlueHammer في هجمات حقيقية بدءاً من العاشر من أبريل، تبعها رصد استخدام RedSun وUnDefend في السادس عشر من الشهر نفسه.
اعتمد المهاجمون في هذه العمليات أسلوب التمويه عبر وضع ملفات الاستغلال في مجلدات الصور (Downloads وPictures) مع تغيير أسمائها. وبدأوا بتنفيذ عمليات استكشافية لتحديد رتبة المستخدم الحالية، والبحث عن بيانات الاعتماد المخزنة، وتحليل بنية Active Directory قبل تفعيل أدوات الاستغلال. واستجابةً لهذه التهديدات، اتخذت الشركة إجراءات احترازية شملت عزل الأنظمة المتضررة لضمان احتواء التهديد ومنع انتشاره.
الوضع الراهن وتوقعات الاستجابة الأمنية
تشير المعطيات الحالية إلى أن الثغرة المسجلة رسمياً هي CVE-2026-33825، في حين لا تزال أداتا RedSun وUnDefend تندرجان ضمن فئة أدوات إثبات المفهوم (PoC) دون تخصيص معرفات CVE مستقلة لهما حتى الآن. وبينما أدرجت Microsoft هذه الثغرة ضمن تحديثات شهر أبريل، لا يزال سجل NVD يعمل على استكمال التحليلات الفنية الدقيقة المرتبطة بها، واضعاً أنظمة الدفاع أمام تحدي الموازنة بين توفر التصحيح البرمجي ووجود أدوات هجومية سهلة الاستخدام في أيدي الجهات التهديدية.
يرفع هذا المشهد المعقد من مستوى الخطر العام، لا سيما في الشبكات التي ينجح فيها المهاجم في الحصول على وصول محلي أولي للجهاز. ونظراً لسرعة انتقال الأدوات من المختبرات البحثية إلى الاستخدام الميداني في الهجمات، يرجح الخبراء لجوء Microsoft إلى إصدار تحديث أمني طارئ خارج المواعيد الدورية المعتادة (Out-of-band Update)؛ لضمان سد الفجوات الأمنية المكتشفة وتقليص الفارق الزمني الذي يستغله المهاجمون قبل وصول التحديثات إلى كافة المستخدمين.
