ثغرة Windows DNS Client CVE-2026-41096: تنفيذ أوامر عن بُعد بدرجة 9.8 تصيب كل جهاز Windows بدون مصادقة

كشفت Microsoft في تحديث Patch Tuesday لشهر مايو 2026 عن ثغرة CVE-2026-41096 في مكوّن Windows DNS Client، وهي ثغرة تجاوز سعة الكومة (Heap-Based Buffer Overflow) حصلت على تقييم CVSS 9.8 من 10 — أعلى درجة خطورة عملية ممكنة. الثغرة تسمح لمهاجم غير مصادَق بتنفيذ تعليمات برمجية عشوائية على أي جهاز Windows عبر إرسال استجابة DNS مُعدّة خصيصاً، دون الحاجة لأي تفاعل من المستخدم.

التفاصيل التقنية لثغرة DNS Client RCE

تكمن الثغرة في مكتبة dnsapi.dll، وهي المكتبة المسؤولة عن معالجة استعلامات DNS في كل نسخة Windows. عند استقبال استجابة DNS تحتوي سجلات موارد (Resource Records) مشوّهة، يفشل محلّل DNS في التحقق من حدود البيانات المُستقبَلة، مما يؤدي إلى تجاوز سعة الكومة (Heap Overflow). يستطيع المهاجم استغلال هذا الخلل لإفساد ذاكرة العملية وحقن شيفرة تنفيذية تعمل بصلاحيات خدمة DNS Client — وهي صلاحيات SYSTEM في معظم التكوينات.

ما يجعل هذه الثغرة استثنائية الخطورة هو تقاطع ثلاثة عوامل: أولاً، لا تتطلب أي مصادقة مسبقة (Authentication: None). ثانياً، لا تحتاج تفاعلاً من المستخدم (User Interaction: None). ثالثاً، تعقيد الهجوم منخفض (Attack Complexity: Low). هذا يعني أن أي جهاز Windows متصل بالشبكة يمكن اختراقه بحزمة DNS واحدة إذا تمكّن المهاجم من التحكم في استجابة DNS التي يستقبلها الجهاز.

سيناريوهات الاستغلال العملية

السيناريو الأول والأكثر خطورة هو هجوم Man-in-the-Middle على الشبكة المحلية: يقوم المهاجم الذي اخترق أي جهاز داخل الشبكة بتسميم استجابات DNS (DNS Spoofing) باستخدام أدوات مثل Responder أو Bettercap، فيستقبل كل جهاز Windows يُرسل استعلام DNS الاستجابة الخبيثة ويتم اختراقه فوراً. السيناريو الثاني هو اختراق خادم DNS نفسه أو إعادة توجيه حركة DNS عبر شبكة WiFi عامة. السيناريو الثالث يتضمن استغلال الثغرة عبر الإنترنت إذا كان المهاجم يتحكم في خادم DNS يستجيب لاستعلام من الجهاز المستهدف — وهو أمر ممكن عبر تقنيات مثل DNS Rebinding.

الأنظمة المتأثرة تشمل جميع إصدارات Windows 11 المدعومة (23H2, 24H2, 25H2) وكذلك Windows Server 2022 و Windows Server 2025. بمعنى آخر، كل جهاز Windows حديث في مؤسستك معرّض للخطر.

لماذا تُشكّل هذه الثغرة تهديداً مضاعفاً للمؤسسات المالية السعودية

المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) تعتمد بشكل شبه كامل على بنية Active Directory المبنية على Windows، مما يعني أن سطح الهجوم يشمل كل محطة عمل وكل خادم في البيئة. ضوابط الأمن السيبراني SAMA CSCC تُلزم المؤسسات بتطبيق تصحيحات الثغرات الحرجة خلال إطار زمني محدد، وثغرة بدرجة 9.8 تقع ضمن أعلى فئة أولوية.

كذلك، يتطلب إطار NCA ECC في ضوابط إدارة الثغرات (Vulnerability Management) إجراء مسح دوري وتصحيح فوري للثغرات المصنّفة حرجة. تأخير التصحيح لثغرة من هذا النوع لا يُعتبر فقط مخاطرة تقنية، بل مخالفة تنظيمية قد تُفضي إلى عقوبات عند التدقيق. أضف إلى ذلك أن نظام حماية البيانات الشخصية (PDPL) يُحمّل المؤسسة مسؤولية حماية البيانات الشخصية المُعالَجة، واختراق عبر ثغرة معروفة ومُصحَّحة يُعتبر إهمالاً واضحاً.

المقارنة مع ثغرات DNS التاريخية

هذه ليست المرة الأولى التي يتحول فيها مكوّن DNS إلى بوابة اختراق. في عام 2020، كشفت ثغرة SIGRed (CVE-2020-1350) عن خلل في خدمة Windows DNS Server بدرجة CVSS 10.0، وتم تصنيفها كـ "wormable" لقدرتها على الانتشار الذاتي بين الخوادم. الفرق الجوهري أن CVE-2026-41096 تستهدف DNS Client وليس Server، مما يعني أن كل جهاز Windows — وليس فقط الخوادم — أصبح هدفاً مباشراً. هذا يوسّع سطح الهجوم بشكل هائل من عشرات الخوادم إلى آلاف أو عشرات الآلاف من الأجهزة في المؤسسة الواحدة.

التوصيات والخطوات العملية

1. تطبيق التصحيح فوراً: أولوية قصوى لتثبيت تحديث مايو 2026 على جميع أجهزة Windows، بدءاً من الخوادم الحرجة (Domain Controllers, Exchange, SQL) ثم محطات العمل. استخدم WSUS أو SCCM أو Intune للتوزيع المُتحكَّم.
2. عزل حركة DNS: تأكد من أن جميع استعلامات DNS الداخلية تمر عبر خوادم DNS موثوقة ومُصحَّحة. امنع الأجهزة من الاتصال بخوادم DNS خارجية مباشرة عبر قواعد جدار الحماية على المنفذ 53 (TCP/UDP).
3. تفعيل DNSSEC: بروتوكول DNSSEC يوفّر طبقة حماية إضافية بالتحقق من صحة استجابات DNS رقمياً، مما يصعّب على المهاجم حقن استجابات مزيفة.
4. مراقبة حركة DNS الشاذة: فعّل تسجيل استعلامات DNS في SIEM (مثل Splunk أو QRadar) وراقب الأنماط غير الطبيعية: استعلامات لنطاقات DGA، حجم استجابات DNS كبير بشكل غير عادي، أو استعلامات من أجهزة لا ينبغي لها الاتصال بخوادم DNS خارجية.
5. تقييد صلاحيات خدمة DNS Client: راجع إمكانية تشغيل خدمة DNS Client بصلاحيات مُخفَّضة باستخدام Group Policy في البيئات التي تسمح بذلك.
6. إجراء مسح شامل للثغرات: استخدم أدوات مثل Tenable Nessus أو Qualys لتأكيد تطبيق التصحيح على جميع الأصول، وحدد الأجهزة التي لم تستقبل التحديث بعد.

الخلاصة

ثغرة CVE-2026-41096 تُذكّرنا بأن المكوّنات الأساسية التي نعتبرها بديهية — مثل محلّل DNS — يمكن أن تتحول إلى أخطر نقاط الاختراق. مع درجة CVSS 9.8 وإمكانية الاستغلال بدون مصادقة أو تفاعل مستخدم، لا يوجد مبرر لتأخير التصحيح. المؤسسات المالية السعودية التي تتأخر في التعامل مع هذه الثغرة تضع نفسها أمام مخاطرة تقنية وتنظيمية مزدوجة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ولمراجعة استراتيجية إدارة الثغرات والتصحيحات لديكم.