CVE-2026-41089: استغلال نشط لثغرة تنفيذ التعليمات البرمجية عن بُعد في Netlogon

CVE-2026-41089: استغلال نشط لثغرة تنفيذ التعليمات البرمجية عن بُعد في Netlogon

تحولت ثغرة خطيرة في بروتوكول Netlogon من مايكروسوفت، المُسجَّلة برقم CVE-2026-41089، من ثغرة مصححة إلى استغلال نشط. يستخدم المهاجمون الآن هذه الثغرة في هجمات حية ضد شبكات المؤسسات، وفقًا لتحذيرات صادرة عن عدة هيئات وطنية للأمن السيبراني. وعواقب الاختراق الناجح وخيمة: تنفيذ تعليمات برمجية عن بُعد بدون مصادقة وعلى مستوى SYSTEM على متحكمات المجال، مما قد يُترجم إلى سيطرة كاملة على نطاق Active Directory بالكامل في المؤسسة. إذا كانت مؤسستك تُشغّل متحكمات مجال ويندوز ولم تُطبّق بعد دورة التصحيح لشهر مايو 2026، فهذا إنذار من الدرجة القصوى يتطلب تحركًا فوريًا.

ما تفعله ثغرة CVE-2026-41089 ولماذا تُعد متحكمات المجال الهدف الأعلى قيمة

Netlogon هو بروتوكول ويندوز المسؤول عن مصادقة المستخدمين والأجهزة داخل المجال. وهو يتولى بعضًا من أكثر الاتصالات امتيازًا في أي شبكة ويندوز، بما في ذلك القناة الآمنة بين العملاء ومتحكمات المجال. تُدخل ثغرة CVE-2026-41089 مسارًا لتنفيذ التعليمات البرمجية عن بُعد لا يتطلب أي مصادقة على الإطلاق. إذ يمكن لمهاجم لديه وصول على مستوى الشبكة إلى متحكم مجال أن يُرسل رسالة Netlogon مُعدّة خصيصًا، ويُثير الثغرة، ويحصل على واجهة أوامر بمستوى SYSTEM قبل تقديم أي اعتماد دخول.

مُتحكمات المجال هي جواهر التاج في أي بيئة ويندوز. فهي تحمل مفاتيح كل حساب مستخدم، وسياسة مجموعة، ورمز مصادقة، وعلاقة ثقة في الشبكة. عادةً ما يعني اختراق متحكم مجال واحد اختراق نطاق Active Directory بالكامل، حيث يمكن للمهاجم الذي لديه وصول SYSTEM نسخ قاعدة بيانات المجال، واستخراج تجزئات الاعتمادات، وتزوير تذاكر Kerberos كما يشاء. هذه ليست عملية تصعيد امتيازات تبدأ من موطئ قدم منخفض الصلاحيات، بل تبدأ بتحكم كامل.

تُذكرنا الخطورة هنا بثغرات Netlogon السابقة، وسطح الهجوم واسع بالمثل. أي نظام يُعرّض Netlogon RPC (عادةً منفذ TCP 445 أو نطاق RPC الديناميكي) لقطاعات شبكة غير موثوقة يكون مُرشحًا للاستغلال.

كيف يتكشف الاستغلال النشط: من الوصول غير المُصادق إلى اختراق كامل لنطاق AD

سلسلة الهجوم قصيرة بشكل ملحوظ، وهذا جزء مما يجعل هذه الثغرة بالغة الخطورة. يمكن للمهاجم الذي يمسح الشبكة بحثًا عن متحكمات مجال مكشوفة أن يُحدد هدفًا، ويُعد طلب Netlogon RPC خبيثًا، ويحقق تنفيذ تعليمات برمجية بمستوى SYSTEM في تبادل واحد غير مُصادق. ليست هناك حاجة لاصطياد مستخدم، أو سرقة كلمة مرور، أو التحرك عبر أنظمة متعددة أولًا.

بمجرد تحقيق وصول SYSTEM على متحكم المجال، تكون خطوات المهاجم التالية موثقة جيدًا. يمكنه تفريغ قاعدة بيانات NTDS.dit (مخزن اعتمادات Active Directory)، واستخراج تجزئات حساب KRBTGT لتزوير التذاكر الذهبية، وإنشاء حسابات أبواب خلفية دائمة تبقى حتى بعد إعادة ضبط كلمات المرور. من هذا الموقع، يصبح التحرك الجانبي عبر الغابة بأكملها بسيطًا.

هذا النوع من التصعيد السريع هو موضوع متكرر في نشاط التهديدات الحديثة التي تركز على مايكروسوفت. ثغرة MiniPlasma zero-day التي تمنح وصول SYSTEM على أجهزة ويندوز المُصححة تتبع منطقًا مشابهًا لتصعيد الامتيازات، وقد أظهرت الجهات الفاعلة في التهديد استعدادها لربط عدة ثغرات في ويندوز معًا للوصول السريع إلى أهداف عالية القيمة. وفي الوقت نفسه، أظهرت جهات تركز على السحابة مثل تلك التي تقف وراء حملة Storm-2949 على Microsoft 365 أنه بمجرد اختراق غابة محلية، يمكن لتكوينات Azure AD الهجينة أن تُوسع نطاق الانفجار ليشمل مستأجري السحابة أيضًا.

تجزئة الشبكة وفرض الثقة الصفرية عبر VPN كطبقات تخفيف فورية

التصحيح هو الحل الكامل الوحيد، لكن خيارات تصميم الشبكة يمكن أن تُقلل بشكل كبير من احتمال الاستغلال في الفترة التي تسبق نشر التصحيحات أو تأكيدها.

أهم خطوة فورية هي تقييد الأنظمة التي يمكنها الوصول إلى متحكمات المجال عبر المنافذ المتعلقة بـ Netlogon. يجب ألا تكون متحكمات المجال قابلة للوصول مباشرةً من محطات العمل العامة، أو شبكات الضيوف، أو أي قطاع يمكن أن يصل إليه طرف خارجي. قواعد جدار الحماية التي تفرض أن خوادم محددة ومُسماة فقط (الخوادم الأعضاء التي تحتاج بشكل مشروع إلى اتصال Netlogon) هي التي يمكنها الاتصال بمتحكمات المجال على المنافذ ذات الصلة تُقلص سطح الهجوم إلى تلك الأنظمة وحدها.

تلعب بنية VPN دورًا مباشرًا هنا. المؤسسات التي تسمح للمستخدمين عن بُعد أو المكاتب الفرعية بتوجيه حركة المرور عبر نفق VPN قبل الوصول إلى البنية التحتية الداخلية للمجال لديها نقطة فرض طبيعية. إعدادات النفق المُقسّم التي تترك بروتوكولات الإدارة الداخلية مكشوفة دون المرور عبر فحص أو ضوابط وصول تُلغي هذه الميزة. نموذج VPN القائم على الثقة الصفرية، حيث يتم مصادقة وتفويض كل اتصال لكل جلسة قبل منح الوصول إلى الشبكة، يعني أن المهاجم لا يمكنه الوصول إلى متحكم مجال عبر نقطة نهاية مخترقة دون استيفاء طبقة إضافية من التحقق أولًا.

التجزئة الدقيقة على طبقة الشبكة، سواء من خلال الشبكات المعرفة بالبرمجيات أو فصل الشبكات المحلية الافتراضية (VLAN) المادي، تضمن أنه حتى محطة العمل المخترقة على الشبكة الداخلية لا يمكنها الوصول إلى منافذ متحكم المجال مباشرة. هذا يُحد من نطاق الانفجار حتى لو كان المهاجم قد أنشأ موطئ قدم في مكان آخر.

حالة التصحيح، مؤشرات الكشف، وتحصين البنية التحتية طويل الأمد

أصدرت مايكروسوفت تصحيحًا لثغرة CVE-2026-41089 كجزء من دورة "الثلاثاء المُصحح" لشهر مايو 2026. يجب على المؤسسات التحقق من أن متحكمات المجال على وجه التحديد قد تلقت هذا التحديث وطبقته بنجاح. تُستثنى متحكمات المجال أحيانًا من سير عمل إدارة التصحيحات القياسي بسبب مخاوف تتعلق بوقت التشغيل، مما قد يتركها غير مُصححة بصمت.

للكشف، يجب على فرق الأمن مراقبة نشاط Netlogon RPC الشاذ الصادر من عناوين IP مصدر غير متوقعة، خاصة تلك الواقعة خارج شبكات الإدارة المعروفة. أحداث إنشاء العمليات على مستوى SYSTEM على متحكمات المجال التي لا تتوافق مع نشاط إداري معروف هي مؤشر قوي على مرحلة ما بعد الاستغلال. يجب أيضًا الإبلاغ عن مُعرّفات الأحداث المتعلقة بطلبات نسخ الدليل من مصادر غير قياسية.

على المدى الطويل، يشير نمط استغلال ثغرات ويندوز عالية الخطورة بتتابع سريع إلى الحاجة إلى وضع بنية تحتية أكثر مرونة. عرض باحثون في Pwn2Own برلين 2026 استغلالات حية ضد ويندوز 11 وEdge، مما يؤكد أن مسار اكتشاف ثغرات ويندوز لا يزال نشطًا. نماذج الإدارة المتدرجة، حيث تُعزل إدارة متحكمات المجال على محطات عمل إدارية مخصصة دون وصول إلى الإنترنت، تُقلل عدد المسارات التي يمكن للمهاجم استخدامها للوصول إلى أكثر الأنظمة حساسية في البيئة.

ما يعنيه هذا بالنسبة لك

إذا كنت تُدير أو تقدم استشارات لشبكات ويندوز المؤسسية، فإن ثغرة CVE-2026-41089 ليست ثغرة يمكنك تأجيلها. الطبيعة غير المُصادقة للاستغلال، والتي تحدث قبل المصادقة، تعني أن دفاعات المحيط وحدها غير كافية. يجب أن يكون تصحيح مايو 2026 موجودًا على كل متحكم مجال في بيئتك، مُؤكدًا وموثقًا، وليس مُفترضًا فقط.

بعد التصحيح، هذه هي اللحظة لتدقيق ما إذا كانت ضوابط VPN والتجزئة لديك تمنع فعليًا المُضيفين الداخليين العشوائيين من الوصول إلى منافذ متحكمات المجال. افحص سياسات الثقة الصفرية لديك بحثًا عن فجوات قد تسمح لنقطة نهاية مخترقة ببدء اتصالات Netlogon دون تحقق إضافي. راجع ما إذا كان تكوين Azure AD الهجين الخاص بك قد يُوسع اختراق الغابة المحلية ليشمل الموارد السحابية.

المؤسسات التي ستتجاوز موجة الاستغلال النشط هذه ببنيتها التحتية سليمة هي تلك التي تعاملت مع تجزئة الشبكة والتحقق من التصحيحات كإجراءات مستمرة وليس كمربعات اختيار تُؤدى لمرة واحدة. ابدأ بالتصحيح. ثم اتبع ذلك بمراجعة البنية.