تركز الإحاطة الأمنية اليوم على ثلاث قصص واضحة: Patch Tuesday من مايكروسوفت، وحملة تضم أكثر من 100 إضافة Chrome خبيثة، وفشل حوكمة الوصول لدى Kraken وMcGraw-Hill.
الخلاصة: أقوى إشارة هذا الصباح ليست اسم برمجية فدية واحد. الإشارة الحقيقية هي نفس فجوة الضبط التي ظهرت في أكثر من حادثة: ترقيع طارئ، وسرقة جلسات المتصفح، وصلاحيات تستمر بعد انتهاء سببها.
أصدرت مايكروسوفت إصلاحات لـ 167 ثغرة في أبريل 2026، بينها ثغرتان من نوع zero-day. إحداهما ثغرة spoofing في SharePoint Server كانت مستغلة بالفعل في هجمات حقيقية. كما أصلحت مايكروسوفت ثغرات Office الحرجة للتنفيذ عن بُعد ومشكلة رفع صلاحيات في Defender عبر منصة الحماية من البرمجيات الخبيثة.
ربط باحثو Socket أكثر من 100 إضافة خبيثة في Chrome Web Store بحملة منسقة واحدة. ويُقال إن هذه الإضافات سرقت رموز Google OAuth2، وجمعت بيانات الحسابات، واختطفت جلسات Telegram Web، وجلبت أوامر بعيدة في الخلفية. هذه ليست مجرد مخاطرة إضافة متصفح. هذا إساءة استخدام للهوية والجلسة والثقة داخل بيئة مصادق عليها بالفعل.
قالت Kraken إن مجموعة ابتزاز تهدد بنشر فيديوهات لأنظمتها الداخلية بعد وصول غير ملائم من موظفي الدعم كشف بيانات دعم عملاء محدودة تخص نحو 2000 حساب. وقالت McGraw-Hill بشكل منفصل إن مهاجمين وصلوا إلى بيانات داخلية محدودة عبر سوء إعداد في صفحة مستضافة على Salesforce، بينما ادعت ShinyHunters أنها حصلت على كمية أكبر بكثير. يختلف مدى التأثير الدقيق، لكن النمط واحد: سير عمل الدعم والأنظمة التجارية المستضافة غالباً ما تحتفظ بثقة أكبر مما تتصور الفرق.
الخلاصة النهائية: كل قصص اليوم تشير إلى الحقيقة التشغيلية نفسها. المهاجمون يربحون داخل الفجوة بين الضبط الاسمي والضبط المتحقق منه، بين “تم الترقيع” و”تم الإصلاح فعلاً”، بين “تم تسجيل الدخول” و”جدير بالثقة فعلاً”، وبين “وصول مؤقت” وامتياز باقٍ.
تساعد KENSAI الفرق على التحقق من مسارات الثقة المكشوفة وتغطية التصحيحات والواقع الأمني المواجه للإنترنت قبل أن يتحول الانجراف إلى ورقة ضغط بيد المهاجمين.
ابدأ فحصاً مجانياً →ابقَ حاداً.
🗡️ KENSAI Security Team