كشفت شركة مايكروسوفت عن وجود ثغرتين أمنيتين في برنامج Microsoft Defender، Microsoft Defender، قد وصلتا إلى مرحلة الاستغلال النشط في الهجمات السيبرانية.
الثغرة الأولى، والتي تحمل المعرف CVE-2026-41091، تتيح للمهاجم رفع مستوى الصلاحيات، مما قد يمكّنه من الوصول إلى مستوى النظام (SYSTEM privileges). أما الثغرة الثانية، CVE-2026-45498، فهي تتعلق بأعمال تعطيل الخدمة (Denial-of-Service).
تحذيرات حول ثغرات Microsoft Defender
وفقًا لبيان مايكروسوفت، فإن الثغرة المتعلقة برفع الصلاحيات تنشأ عن خلل في معالجة الروابط قبل الوصول إلى الملفات، وهذا يسمح للمهاجم، الذي يمتلك صلاحيات محدودة، برفع صلاحياته على النظام المحلي. وتُصنّف هذه الثغرة بدرجة 7.8 على مقياس CVSS.
من جانبها، تُعد ثغرة تعطيل الخدمة، والتي تحمل درجة 4.0 على مقياس CVSS، مشكلة تؤثر على استقرار برنامج Defender. وقد أصدرت الشركة تحديثات لمعالجة هاتين الثغرتين في نسختي Microsoft Defender Antimalware Platform 1.1.26040.8 و 4.18.26040.7.
تجدر الإشارة إلى أن الأنظمة التي تم فيها تعطيل Microsoft Defender لا تكون عرضة لهذه الثغرة. كما أكدت مايكروسوفت أن التحديثات يتم تثبيتها تلقائيًا، ولا يمكن للمستخدمين القيام بأي إجراءات إضافية لضمان الحماية.
تطورات استغلال الثغرات في الهجمات
لا تتوفر حاليًا تفاصيل دقيقة حول كيفية استغلال هذه الثغرات في الهجمات الفعلية. ولكن، قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإضافة الثغرتين إلى قائمتها المعروفة بالثغرات المستغلة (KEV)، مما يفرض على الوكالات الفيدرالية المدنية تطبيق الإصلاحات اللازمة بحلول 3 يونيو 2026.
يأتي هذا الإعلان في وقت تتزايد فيه المخاوف بشأن التهديدات السيبرانية، خاصة تلك التي تستهدف برامج الحماية الأساسية. وقد أبلغت مايكروسوفت سابقًا عن استغلال ثغرة أخرى تتعلق بالبرمجة النصية عبر المواقع (XSS) في إصدارات Exchange Server داخلية (CVE-2026-42897).
إضافة إلى ذلك، تم تضمين أربع ثغرات أخرى من مايكروسوفت تعود إلى أعوام 2008 و 2009 و 2010 في قائمة KEV. وتشمل هذه الثغرات عيوبًا في متصفح Internet Explorer، وبرنامج DirectX، وخدمات Windows Server، والتي تمكن المهاجمين من تنفيذ تعليمات برمجية عن بعد.
كما وردت في القائمة ثغرة أخرى في برنامج Adobe Acrobat و Reader، وهي ثغرة تجاوز سعة المخزن المؤقت في الكومة (heap-based buffer overflow) (CVE-2009-3459)، والتي يمكن استغلالها لتنفيذ تعليمات برمجية عن بعد عبر ملفات PDF مصممة خصيصًا.