كشفت تقارير أمنية من شركة Huntress عن استغلال فعلي لثلاث ثغرات يوم صفر داخل Microsoft Defender، ما يمنح المهاجمين قدرة على رفع الصلاحيات والسيطرة على الأنظمة المصابة. الثغرات ظهرت للعلن عبر باحث أمني يُعرف باسم Chaotic Eclipse، بعد خلاف حول آلية الإفصاح عن الثغرات.
الثغرات الثلاث تحمل أسماء BlueHammer وRedSun وUnDefend، وكل منها يستهدف جانبًا مختلفًا من النظام. ثغرتا BlueHammer وRedSun تندرجان تحت تصعيد الصلاحيات محليًا (LPE)، ما يسمح للمهاجم بالانتقال من مستخدم عادي إلى صلاحيات أعلى داخل الجهاز. أما UnDefend فتُستخدم لتعطيل تحديثات الحماية عبر إحداث حالة حجب خدمة (DoS)، ما يترك النظام بدون تحديثات أمنية حديثة.
الاستغلال لم يكن نظريًا، بل تم رصده عمليًا في هجمات حقيقية. بيانات Huntress تشير إلى أن BlueHammer استُخدمت منذ 10 أبريل 2026، بينما ظهرت محاولات استغلال RedSun وUnDefend في 16 أبريل باستخدام نماذج أولية جاهزة (PoC). الأنشطة المرتبطة بالهجوم تضمنت أوامر مباشرة مثل “whoami /priv” و“net group”، وهي مؤشرات على وجود مهاجم يتفاعل يدويًا مع النظام بعد الاختراق.
استجابت Microsoft جزئيًا، حيث أصدرت تحديثًا لمعالجة ثغرة BlueHammer ضمن تحديثات Patch Tuesday تحت رقم CVE-2026-33825. في المقابل، لا تزال الثغرتان RedSun وUnDefend بدون إصلاح حتى الآن، ما يترك فجوة مفتوحة يمكن استغلالها.
المشكلة لا تتوقف عند وجود ثغرات، بل في توقيت الكشف والاستغلال. نشر الثغرات دون إصلاح كامل خلق نافذة زمنية خطرة، استغلها المهاجمون بسرعة. هذا يعكس خللًا متكررًا في توازن العلاقة بين الباحثين الأمنيين والشركات، خاصة عندما يتم تجاوز مبدأ “الإفصاح المنسق”.
الوضع الحالي يعني أن الأنظمة التي تعتمد على Microsoft Defender فقط قد تكون معرضة لهجمات متقدمة، خصوصًا في البيئات التي لا تُطبق طبقات حماية إضافية أو مراقبة سلوك النظام بشكل مستمر.
