← Back to Blog
الإحاطة الأمنية 5 min read 2026-04-10

الإحاطة الأمنية، 10 أبريل 2026: Chrome DBSC، ثغرة Adobe Reader من فئة يوم صفر، LucidRook، VENOM، وثغرة EngageLab SDK

إشارة هذا الصباح واضحة وقاسية: المهاجمون ما زالوا يحققون نتائج عبر سرقة الجلسات واستغلال المستندات والتصيد الموجّه لبيانات الاعتماد واعتماديات سلاسل التوريد. هناك خبر دفاعي جيد من Chrome، لكن بقية الإحاطة تذكّر بأن أمن الهوية ونظافة الطرفيات ما زالا يحسمان المعركة.


الخلاصة: خطوة مفيدة في تقوية المتصفح، وثغرة PDF نشطة من فئة يوم صفر، وحملتا اختراق موجّهتان، وتعرّض واسع مرتبط بـ Android SDK، وضغط إضافي لتحديث أجهزة الحافة.


1. Chrome 146 يرفع تكلفة سرقة ملفات الجلسة

أطلقت Google ميزة Device Bound Session Credentials (DBSC) في Chrome 146 على Windows. تقوم الميزة بربط بيانات الجلسة قصيرة العمر بمفاتيح محمية على مستوى العتاد. هذا يعني أن برمجيات سرقة المعلومات لا تستطيع أخذ ملف جلسة من جهاز ثم إعادة استخدامه على جهاز آخر بسهولة كما كان يحدث سابقاً.

وهذا مهم لأن سرقة الجلسات أصبحت من أسرع الطرق لتجاوز كلمات المرور وMFA. Chrome لا يمنع الإصابة بالبرمجيات الخبيثة، لكنه يجعل اختطاف الجلسة بعد الاختراق أصعب وأكثر كلفة.

لماذا يهم ذلك


2. ثغرة Adobe Reader من فئة يوم صفر تُستغل عبر ملفات PDF خبيثة

يقول باحثون إن ثغرة غير معروفة في Adobe Reader تُستغل منذ ديسمبر 2025 على الأقل عبر ملفات PDF معدلة. العينات تقوم بتشغيل JavaScript مموّه، وجمع معلومات محلية، والاتصال بخادم بعيد، وربما تمهّد لتنفيذ تعليمات برمجية لاحقاً أو للهروب من العزل.

هذا سيئ لأن PDF ما زال من أكثر الصيغ الموثوقة داخل بيئات العمل. عندما يكون الاستغلال النشط مخفياً داخل “فاتورة”، فإن التوعية وحدها لا تكفي.

لماذا يهم ذلك


3. LucidRook يستهدف منظمات غير حكومية وجامعات في تايوان

تشير تقارير مرتبطة بـ Cisco Talos إلى أن LucidRook برمجية خبيثة معيارية مبنية على Lua وتُستخدم في حملات spear-phishing ضد منظمات غير حكومية وجامعات في تايوان. تعتمد البرمجية على التسليم المرحلي، وDLL sideloading، والتمويه الشديد، وجلب bytecode خارجي.

اللافت ليس اسم البرمجية فقط، بل الانضباط التشغيلي للمهاجمين. هذه تبدو حملة مصممة من أجل وصول موجّه وجمع هادئ للمعلومات، لا من أجل جريمة إلكترونية صاخبة.

لماذا يهم ذلك


4. VENOM يحوّل حسابات Microsoft التنفيذية إلى منتج جاهز

أظهر بحث Abnormal أن منصة VENOM المغلقة من نوع phishing-as-a-service تركز بوضوح على التنفيذيين. تقلّد المنصة إشعارات SharePoint، وتخفي بيانات الهدف في URL fragments، وتستخدم رموز QR لدفع الضحية نحو الهاتف، وتلتقط الوصول عبر أساليب adversary-in-the-middle وdevice-code.

هنا يجب أن يكون الكلام مباشراً: إذا كانت حسابات التنفيذيين ما تزال تعتمد على MFA التقليدي وسياسات conditional access الضعيفة، فأنتم متأخرون.

لماذا يهم ذلك


5. ثغرة EngageLab SDK تكشف حجم مخاطر سلاسل التوريد المحمولة

كشفت Microsoft تفاصيل ثغرة مُصححة في EngageLab SDK كان يمكن أن تسمح لتطبيق خبيث بتجاوز افتراضات العزل والوصول إلى بيانات خاصة تخص تطبيقات أخرى تستخدم نفس الـ SDK. ووفقاً لمايكروسوفت، تجاوز النطاق 50 مليون عملية تثبيت، منها 30 مليون تثبيت لمحافظ العملات الرقمية.

لا يوجد دليل علني على استغلال فعلي، لكن الدرس واضح. حزم SDK المحمولة من طرف ثالث أصبحت جزءاً من سطح الهجوم.

لماذا يهم ذلك


6. مراقبة التحديثات: Palo Alto Networks و SonicWall

أشارت SecurityWeek أيضاً إلى تصحيحات عالية الخطورة من Palo Alto Networks وSonicWall. تختلف درجة الخطر حسب المنتج، لكن النمط لا يتغير: معدات الحافة المكشوفة ما تزال من أسرع الطرق للوصول إلى صلاحيات إدارية.


ما الذي يجب على فرق الأمن فعله اليوم

  1. تقوية الهوية: تسريع نشر passkeys أو FIDO2 للتنفيذيين والمسؤولين.
  2. عزل المستندات الخطرة: فحص ملفات PDF غير الموثوقة داخل sandbox قبل وصولها للمستخدم.
  3. مطاردة السلاسل الهادئة: مراقبة LNK والأرشيفات وDLL sideloading وخروج FTP الغريب.
  4. مراجعة الاعتماديات المحمولة: جرد SDK التابعة لطرف ثالث وتطبيق التحديثات الأمنية سريعاً.
  5. تحديث الحافة بسرعة: خصوصاً الجدران النارية وVPN ومنتجات الإدارة البعيدة.

المصادر المعتمدة في هذه الإحاطة: تقارير BleepingComputer وThe Hacker News وSecurityWeek المنشورة بين 9 و10 أبريل 2026.

قلّص النافذة الزمنية التي يعتمد عليها المهاجمون

يساعد KENSAI الفرق على اكتشاف مسارات الهجوم المكشوفة، وضعف ضوابط الهوية، والأصول المعرضة على الإنترنت قبل أن تتحول إلى حادث فعلي.

ابدأ فحصاً مجانياً →

ابقوا متيقظين.

🗡️ فريق KENSAI الأمني