← العودة إلى المدونة
Security Briefing3 دقائق قراءة2026-04-18

الإحاطة الأمنية، 18 أبريل 2026: استغلال ActiveMQ وثغرات ويندوز الصفرية وتداعيات LSASS

تركز الإحاطة الأمنية اليوم على ثلاث إشارات واضحة: أضافت CISA استغلال Apache ActiveMQ إلى قائمة الاستغلالات الفعلية، وترى Huntress ثغرات ترقية الامتيازات المسربة في ويندوز داخل اختراقات حقيقية، كما أكدت مايكروسوفت حلقات تعطل LSASS على بعض وحدات التحكم بالمجال بعد التحديث.


الخلاصة: المشهد هذا الصباح هو ترتيب الدفاع بشكل صحيح. هناك ثغرة يجري استغلالها فعلاً، ومساران لرفع الامتيازات في ويندوز لا يزالان بلا إصلاح كامل، كما أن تحديثاً رسمياً قد يزعزع استقرار وحدات التحكم بالمجال في بعض بيئات PAM. تحتاج فرق الأمن إلى مسارات منفصلة لـ«التحديث الآن» و«الاحتواء الآن» و«إيقاف النشر الآن».


1. انتقل ActiveMQ من قائمة التحديثات إلى الاستغلال الفعلي

أضافت CISA الثغرة CVE-2026-34197 إلى كتالوج KEV بعد تأكيد الاستغلال النشط. تؤثر الثغرة على Apache ActiveMQ Classic وتنتج عن تحقق غير صحيح من المدخلات وتسمح بتنفيذ تعليمات برمجية عن بُعد لمستخدم موثّق. أصلحت Apache المشكلة في الإصدارين 6.2.3 و5.19.4، لكن الوسطاء المكشوفين ما زالوا هدفاً سهلاً. ولا يزال Shadowserver يتتبع أكثر من 7,500 نظام مكشوف على الإنترنت.


2. أصبحت ثغرات ويندوز المسربة جزءاً من اختراقات عملية حقيقية

أفادت Huntress بأنها رصدت تقنيات BlueHammer وRedSun وUnDefend قيد الاستخدام الفعلي. جرى تصحيح BlueHammer في أبريل، لكن RedSun وUnDefend ما زالتا بلا إصلاحات مكتملة من المورّد. وشمل النشاط المرصود حساب SSL VPN مخترقاً تبعه سلوك تفاعلي من المهاجم. لم تعد مجرد PoC منشورة على GitHub.


3. تحديثات خوادم أبريل تحمل أيضاً فخاً للتوافر

أكدت مايكروسوفت أن KB5082063 قد يسبب تعطل LSASS وحلقات إعادة تشغيل على بعض وحدات التحكم بالمجال غير Global Catalog داخل بيئات Privileged Access Management. هذا يحول نشر تحديث أمني اعتيادي إلى خطر انقطاع للهوية. فإذا اختلت مصداقية المصادقة، يضيع مكسب التحديث السريع بسرعة.


ما الذي ينبغي أن تفعله فرق الأمن اليوم

  1. أنهِ أولاً فرز الطوارئ الخاص بـ ActiveMQ، خصوصاً للوسطاء المكشوفين وعمليات النشر القديمة من Classic.
  2. ابحث عن آثار BlueHammer وRedSun وUnDefend في أي مكان يبدو فيه وصول VPN حديث أو تصعيد إداري مريباً.
  3. تحقق مما إذا كانت وحدات تحكم PAM ضمن النطاق قبل توسيع نشر KB5082063.
  4. أرسل للإدارة تحديثاً واضحاً يفصل بين ضغط الاستغلال وخطر عدم استقرار التحديث.

الخلاصة النهائية: الدفاع الناضج اليوم يعني العمل بثلاث سرعات معاً: تحديث الوسيط المكشوف، ومطاردة موطئ القدم في ويندوز، وإبطاء أي نشر قد يخرج الهوية عن الخدمة.

افصل بين التحديث الطارئ والتحديث الخطر

تساعد KENSAI فرق الأمن على التحقق من الأنظمة المكشوفة ومسارات الاستغلال النشط ومخاطر النشر التشغيلية قبل أن تتحول العجلة إلى توقف كان يمكن تجنبه.

ابدأ فحصاً مجانياً →

ابقَ حاداً.

🗡️ KENSAI Security Team