تعتبر ثغرة زيرو داي في مايكروسوفت Exchange تهديدًا خطيرًا لمستخدمي Outlook Web Access. في هذا المقال، نستعرض تفاصيل الثغرة وتأثيرها وكيفية التخفيف من المخاطر.
أعلنت شركة مايكروسوفت يوم الخميس عن وجود ثغرة أمنية من نوع زيرو داي في خدمة Exchange، والتي تتعرض حاليًا لاستغلال نشط، ولكن بعد أربعة أيام لا يزال العملاء في انتظار تحديث.
تُعرف الثغرة، التي تم تتبعها برمز CVE-2026-42897، بأنها تؤثر على خدمة Outlook Web Access (OWA) وتمكن المهاجم غير المصرح له من تنفيذ هجمات انتحال هوية عبر الشبكة. وفقًا لمايكروسوفت، تنبع هذه الثغرة من خلل في البرمجة عبر المواقع (XSS)، وهو أحد أكثر الثغرات شيوعًا التي يكتشفها الباحثون في مجال الأمن، وغالبًا ما تتصدر قوائم OWASP لأهم 10 ثغرات.
قالت مايكروسوفت في إشعار لها: “يمكن للمهاجم استغلال هذه المشكلة من خلال إرسال بريد إلكتروني مصمم خصيصًا إلى المستخدم. إذا فتح المستخدم البريد الإلكتروني في Outlook Web Access وتم استيفاء شروط تفاعل معينة، يمكن تنفيذ JavaScript عشوائي في سياق المتصفح.”
تم الكشف عن CVE-2026-42897 بعد يومين من إصدار تحديثات Patch Tuesday الكبير الأسبوع الماضي، والذي، من المفارقات، لم يحتوي على أي ثغرات زيرو داي. أضافت وكالة الأمن السيبراني والبنية التحتية (CISA) الثغرة إلى كتالوج الثغرات المعروفة (KEV) يوم الجمعة.
المخاطر السيبرانية لمستخدمي OWA
تؤثر CVE-2026-42897 على الإصدارات المحلية من Exchange Server 2016 وExchange Server 2019 وExchange Server Subscription Edition (SE). وقد منحت مايكروسوفت الثغرة درجة CVSS تبلغ 8.1، على الرغم من أن قاعدة بيانات الثغرات الوطنية التابعة لمؤسسة NIST منحتها درجة متوسطة تبلغ 6.1.
لم تقدم مايكروسوفت تفاصيل حول نطاق الهجمات السيبرانية المحتملة، ولكن في إشعار نُشر يوم الاثنين، حذرت مركز الأمن السيبراني في بلجيكا (CCB) من أن الاستغلال الناجح قد يمنح المهاجم وصولًا إلى صندوق البريد الخاص بالضحية ورموز الجلسة، ويسمح لهم أيضًا بإجراء تغييرات غير مصرح بها على إعدادات صندوق البريد أو تعديلات على محتوى البريد الإلكتروني.
بينما تعتبر CVE-2026-42897 ثغرة في خادم مايكروسوفت Exchange، فإن المخاطر تتعلق بصناديق بريد مستخدمي OWA. في منشور على LinkedIn، أكد بوغدان تيرون، مؤسس شركة Fortbridge لاختبار الاختراق، أن التأثير “ليس اختراق الخادم، بل اختراق صندوق البريد — قراءة البريد، إرسال رسائل بريد إلكتروني باسم الضحية، سرقة رموز الجلسة، وزرع قواعد إعادة التوجيه التي تبقى بعد إعادة تعيين كلمة المرور.” وحذر من أن مثل هذه الاختراقات لصناديق البريد يمكن أن تؤدي إلى اختراق البريد الإلكتروني التجاري (BEC) أو هجمات الفدية.
كما أشار تيرون إلى أن XSS “لا يزال يسيطر على البريد الإلكتروني المؤسسي في عام 2026″، مضيفًا أنه بينما قد تعتبر مثل هذه الثغرات “تهديدات مبتدئة” من قبل صناعة الأمن السيبراني، إلا أن المهاجمين لا يزالون يستغلونها للحصول على وصول موثوق إلى شبكات الضحايا. “الثغرات المملة هي التي تستمر في العمل،” حذر.
التخفيف من ثغرة زيرو داي في مايكروسوفت Exchange
في منشور مدونة، قدمت مايكروسوفت خيارين للتخفيف يمكن للعملاء تطبيقهما أثناء انتظار وصول التحديث. الخيار الأول، الذي أوصت به مايكروسوفت، هو للمنظمات التي لديها خدمة التخفيف الطارئ لـ Exchange (EM) Service، والتي تلقت تخفيفًا لإصدارات Exchange Server 2016 و2019 وSE الذي يتم تمكينه تلقائيًا.
لاحظت مايكروسوفت أن خدمة EM تم إصدارها في عام 2021 ويتم تمكينها بشكل افتراضي. “استخدام خدمة EM هو أفضل طريقة لمنظمتك للتخفيف من هذه الثغرة على الفور. إذا كانت لديك خدمة EM معطلة حاليًا، نوصي بتمكينها على الفور،” قالت الشركة.
ليس من الواضح ما هي النسبة المئوية للعملاء الذين لديهم خدمة EM مفعلة حاليًا. اتصلت Dark Reading بمايكروسوفت للتعليق، وقدم متحدث باسم الشركة البيان التالي ولكنه لم يوضح المزيد: “لقد أصدرنا CVE-2026-42897 لمعالجة ثغرة انتحال الهوية التي تؤثر على Outlook Web Access (OWA). نوصي العملاء بتمكين EEMS ليكونوا محميين بشكل أفضل واتباع إرشاداتنا المتاحة هنا.”
الخيار الثاني هو أداة التخفيف المحدثة لـ Exchange On-premises (EOMT)، والتي أوصت مايكروسوفت العملاء بتنزيلها وتطبيقها إما على أساس كل خادم أو من خلال تنفيذ البرنامج النصي عبر Shell إدارة Exchange (EMS) المرتفعة.
كشفت مايكروسوفت عن عدة مشاكل caused بسبب التخفيف، بما في ذلك اضطرابات في تقويم طباعة OWA ووظائف OWA الخفيفة، من بين مشاكل أخرى. قالت مايكروسوفت إنها تعمل حاليًا على تحديث أمني للخطأ وستقوم بنشره للإصدارات المتأثرة من Exchange “في المستقبل”، على الرغم من عدم تقديم جدول زمني.
في ظل استمرار التهديدات السيبرانية، من الضروري أن تبقى على اطلاع دائم بأحدث التحديثات والتدابير الأمنية لحماية بياناتك ومعلوماتك الحساسة.
