الإجاباتمنشور21 المصادر
مايكروسوفت إكستشينج يتعرض لثغرتين أمنيتين خطيرتين خلال أسبوع واحد
في مايو 2026 تعرض Microsoft Exchange لحادثتين أمنيتين منفصلتين خلال أيام: سلسلة استغلال تمنح تنفيذ كود بصلاحيات SYSTEM في مسابقة Pwn2Own Berlin وثغرة يوم‑صفر CVE‑2026‑42897 المستغلة فعلياً. باحث الأمن Orange Tsai من DEVCORE ربط ثلاث ثغرات غير معروفة للحصول على تحكم كامل بخادم Exchange في مسابقة Pwn2Own، وفاز بجائزة...
1.9M0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: How did Microsoft Exchange get hit by both a major Pwn2Own Berlin 2026 exploit and a separate actively exploited zero-day in the same week,. Article summary: Microsoft Exchange was hit by two different events in the same week: a contest-disclosed Pwn2Own Berlin 2026 exploit chain against Exchange, and a separate real-world zero-day, CVE-2026-42897, that Microsoft said was alr. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "* Microsoft Exchange, Windows 11 hacked on second day of Pwn2Own. During the second day of Pwn2Own Berlin 2026, competitors collected $385,750 in cash awards after exploiting 15 u" source context "Microsoft Exchange, Windows 11 hacked on second day of Pwn2Own" Reference image 2: visual subject "# Micr
شهد Microsoft Exchange أسبوعاً أمنياً صعباً في مايو 2026. ففي غضون نحو 48 ساعة فقط، كُشف عن حادثتين منفصلتين تماماً: الأولى عرضٌ ناجح لسلسلة استغلال قوية خلال مسابقة Pwn2Own Berlin، والثانية ثغرة يوم‑صفر حقيقية تُستغل بالفعل في الهجمات وتحمل الرقم CVE‑2026‑42897.
وعلى الرغم من أن الحادثتين غير مرتبطتين تقنياً، فإنهما تكشفان مشكلة مشتركة: خوادم Exchange المحلية (On‑Premises) ما تزال هدفاً جذاباً للمهاجمين، خصوصاً عندما تكون متصلة مباشرة بالإنترنت عبر خدمات مثل Outlook Web Access.
اختراق Exchange في مسابقة Pwn2Own Berlin 2026
خلال مسابقة Pwn2Own Berlin 2026، وهي مسابقة عالمية لاختبار الاختراق تعرض فيها الشركات منتجاتها لمحاولات الاختراق المنظمة، تمكن الباحث الأمني Orange Tsai من فريق DEVCORE من اختراق Microsoft Exchange باستخدام سلسلة من الثغرات غير المعروفة سابقاً.
قام الباحث بربط ثلاث ثغرات مختلفة للحصول على تنفيذ أوامر عن بُعد بصلاحيات SYSTEM على خادم Exchange، وهي أعلى صلاحية ممكنة تقريباً داخل النظام، ما يمنح المهاجم سيطرة كاملة على الخادم. وقد حصل على جائزة قدرها 200 ألف دولار مقابل هذا الإنجاز.
أبرز النقاط التقنية حول هذا الهجوم:
- لم يعتمد الهجوم على ثغرة واحدة بل على سلسلة من عدة ثغرات مرتبطة ببعضها.
- النتيجة النهائية كانت Remote Code Execution بصلاحيات SYSTEM.
- لم تُنشر التفاصيل التقنية فوراً، وهو إجراء معتاد في Pwn2Own لإعطاء الشركات وقتاً لتطوير التحديثات الأمنية.
وفق قواعد المسابقة، يتم اختبار الاختراقات على أحدث إصدار متاح من البرنامج، ما يعني أن الهجوم نجح حتى على نظام محدث بالكامل.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "مايكروسوفت إكستشينج يتعرض لثغرتين أمنيتين خطيرتين خلال أسبوع واحد"؟
في مايو 2026 تعرض Microsoft Exchange لحادثتين أمنيتين منفصلتين خلال أيام: سلسلة استغلال تمنح تنفيذ كود بصلاحيات SYSTEM في مسابقة Pwn2Own Berlin وثغرة يوم‑صفر CVE‑2026‑42897 المستغلة فعلياً.
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
في مايو 2026 تعرض Microsoft Exchange لحادثتين أمنيتين منفصلتين خلال أيام: سلسلة استغلال تمنح تنفيذ كود بصلاحيات SYSTEM في مسابقة Pwn2Own Berlin وثغرة يوم‑صفر CVE‑2026‑42897 المستغلة فعلياً. باحث الأمن Orange Tsai من DEVCORE ربط ثلاث ثغرات غير معروفة للحصول على تحكم كامل بخادم Exchange في مسابقة Pwn2Own، وفاز بجائزة قدرها 200 ألف دولار، بينما لم تُنشر التفاصيل التقنية بعد لإتاحة الوقت لإصلاحها.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
الثغرة CVE‑2026‑42897 هي XSS عالية الخطورة تستهدف واجهة Outlook Web Access في إصدارات Exchange المحلية، وقد أُدرجت في قائمة الثغرات المستغلة فعلياً لدى CISA مع توصيات بتطبيق التخفيفات فوراً.
المصادر
- cyberinsider.comMicrosoft Exchange zero-day chain nets DEVCORE $200K at Pwn2Own
- zerodayinitiative.comPwn2Own Berlin 2026 - Day Two Results
- bleepingcomputer.comMicrosoft Exchange, Windows 11 hacked on second day of Pwn2Own
- nvd.nist.govCVE-2026-42897 Detail - NVD
- securityaffairs.comCVE-2026-42897: Microsoft confirms active exploitation of ...
Loading comments...
Comments
0 comments