ثغرة CVE-2026-8863: كيف تحول محمل الإقلاع الموثوق من مايكروسوفت إلى باب خلفي لنظام ويندوز

استمرار وجود هذه البرمجيات الخطرة في الأجهزة الحقيقية سببه شركات عتاد وبرمجيات قامت باستخدام الكود المفتوح لـ shim في منتجاتها الخاصة، لكنها أهملت تحديثه لاحقاً. حددت شركة "بوزيتيف تكنولوجيز" (Positive Technologies) منتجات محددة متأثرة، منها أدوات مشهورة في أوساط الشركات مثل WhiteCanyon WipeDrive لمسح الأقراص، وBaramundi Management Suite لإدارة الأنظمة، وPC-Doctor Service Center لتشخيص الأعطال، إضافةً إلى نظام Abitti المستخدم في امتحانات الثانوية العامة في فنلندا . هذه الأدوات قامت بتثبيت إصداراتها القديمة من shim في قسم نظام EFI، تاركةً باباً خلفياً دائماً في الأجهزة حتى لو كان نظام التشغيل الرئيسي مُحدّثاً بالكامل .

أسلوب الهجوم: إحضار محمل الإقلاع الضعيف الخاص بك

استغلال ثغرة CVE-2026-8863 ليس هجوماً عن بُعد دون تفاعل. يجب على المخترق أولاً أن يحصل على صلاحيات مدير النظام (Administrator) أو القدرة على تعديل عملية الإقلاع للجهاز المستهدف . بعد حصوله على هذا المستوى من التحكم، يستخدم أسلوباً يشبه تقنية "أحضر برنامج التشغيل الضعيف الخاص بك" (BYOVD)، ولكن هنا بدلاً من برنامج تشغيل، يقوم بوضع أحد محمّلات الإقلاع الضعيفة والموقعة من مايكروسوفت في مسار الإقلاع.

عند تشغيل الجهاز مع تفعيل خاصية الإقلاع الآمن، سيقوم برنامج UEFI الثابت بفحص التوقيع الرقمي لمحمّل shim. سيجده توقيعاً صحيحاً (لأنه صادر عن شهادة Microsoft UEFI CA 2011 الموثوقة)، وسيسمح له بالعمل . هنا تكمن الكارثة: يمكن للمخترق استخدام هذا المحمل القديم لتحويل مسار عملية الإقلاع، محمّلاً برمجية خبيثة قبل أن يبدأ ويندوز أو أي برنامج أمان في العمل. هذا يمنحه سيطرة كاملة على النظام في مرحلة مبكرة جداً، وهي حالة تُعرف بـ تنفيذ الأكواد قبل نظام التشغيل .

مخاطر تنفيذ الأكواد قبل نظام التشغيل: تهديد خفي يصعب تنظيفه

قدرة المخترق على تنفيذ أوامر قبل تحميل نظام التشغيل تنطبق تماماً على التقنية المُسجلة في إطار MITRE ATT&CK تحت الرمز T1542.003 — Pre-OS Boot: Bootkit . "البوت كيت" هو نوع من البرمجيات الخبيثة يعمل في مستوى أدنى من نظام التشغيل، مما يوفر آلية بقاء (persistence) خفية تصعب إزالتها. هذه البرمجيات تنجو من عمليات إعادة تثبيت النظام، وتستطيع التخفي من معظم برامج مكافحة الفيروسات التقليدية .

هجوم ناجح عبر هذه الثغرة يمكن أن يمكّن المخترق من: تعطيل تشفير BitLocker، حقن أكواد خبيثة في نواة نظام التشغيل، أو إنشاء باب خلفي دائم يعمل مع كل مرة يبدأ فيها الجهاز. معالجة الإصابة ببوت كيت أمر بالغ الصعوبة، وغالباً ما يتطلب إعادة برمجة كاملة للبرنامج الثابت للجهاز. هذا هو السبب في أن هذه الثغرة، رغم حاجتها لوصول محلي، تُعتبر ذات أولوية قصوى لفرق أمن المعلومات في الشركات. صنفت "رابيد 7" (Rapid7) الثغرة بدرجة 7.8 على مقياس CVSS v3.1، واعتبرت احتمالية استغلالها "أقل ترجيحاً"، لكن تأثيرها التقني على سرية البيانات وسلامتها وتوفرها مُصنف على أنه "عالي" .

تاريخ من مشاكل الثقة في UEFI

ثغرة CVE-2026-8863 ليست حادثة معزولة، بل هي أحدث فصل في معركة مستمرة لتأمين عملية الإقلاع عبر UEFI. الأسلوب يعيد إلى الأذهان ثغرة "BootHole" الشهيرة (CVE-2020-10713) في محمل GRUB2 عام 2020، والتي سمحت أيضاً بتجاوز الإقلاع الآمن وتطلبت تحديثاً ضخماً لقاعدة بيانات الحظر DBX ، وهجوم "BlackLotus" الذي استغل ثغرة في محمل إقلاع ويندوز لتحقيق نفس القدرة على البقاء قبل تحميل النظام .

تتعقد هذه المشكلة أكثر بسبب حدث ضخم يتزامن معها، وهو انتهاء صلاحية شهادات التوقيع القديمة. شهادة Microsoft Corporation UEFI CA 2011، التي وقعت محمّلات shim الضعيفة وعدداً لا يحصى من مكونات الإقلاع الأخرى، كان مقرراً لها أن تنتهي صلاحيتها في 27 يونيو 2026 . كانت مايكروسوفت تدفع المنظومة بأكملها للانتقال إلى شهادات جديدة صادرة عام 2023، وهي عملية ترحيل معقدة كانت لا تزال جارية لدى العديد من المؤسسات عند الإعلان عن الثغرة .

المعالجة وخطوات النشر الاحترازية للشركات

حل هذه المشكلة ليس مجرد "تثبيت تحديث ويندوز" بسيط. المعالجة الأساسية تكمن في تحديث لقاعدة بيانات التوقيعات المحظورة (DBX) في UEFI. هذا التحديث يضيف البصمات الرقمية لمحمّلات shim الضعيفة إلى قائمة الإبطال في البرنامج الثابت للجهاز. بمجرد تطبيقه، سيرفض UEFI تشغيل هذه البرمجيات، حتى لو كانت تحمل توقيعاً صحيحاً . هذا يشبه إضافة رقم لوحة سيارة مسروقة إلى القائمة السوداء للشرطة، بحيث يتم إيقافها فوراً رغم أنها تبدو قانونية.

بالنسبة لفرق تقنية المعلومات وأمن المعلومات في الشركات، يتطلب نشر هذا التحديث تخطيطاً دقيقاً جداً:

1. تجربة التحديث مبدئياً: انشر تحديث DBX على مجموعة اختبار غير منتجة أولاً. الهدف التأكد من أن حظر المحمّلات القديمة لن يجعل أنظمة حساسة غير قابلة للإقلاع، خاصة تلك التي قد تعتمد سراً على محمل إقلاع من برنامج خارجي قديم .
2. تدقيق البرمجيات الخارجية: استخدم أداة لفحص وجرد الملفات في قسم نظام EFI، للبحث عن وجود محمّلات الإقلاع الضعيفة المحددة. قارن النتائج بقائمة المنتجات المتأثرة التي نشرتها "بوزيتيف تكنولوجيز"، والتي تشمل أدوات حذف بيانات الأقراص، وإدارة الأنظمة، وتشخيص الأعطال .
3. التحقق من أنظمة الإقلاع المزدوج ولينكس: الأنظمة التي تقلع بنظامي ويندوز ولينكس (Dual-Boot)، وخاصة تلك التي تستخدم توزيعات لينكس قديمة، معرضة بشكل كبير لخطر التوقف عن العمل بعد تحديث DBX. تأكد من ترحيل جميع توزيعات لينكس إلى محمل shim حديث وآمن قبل تفعيل الحظر .
4. التنسيق مع مزودي البرامج: اتصل بمزودي أي برامج متأثرة تم تحديدها (مثل WhiteCanyon أو Baramundi) للحصول على نسخ محدثة ومتوافقة مع الإقلاع الآمن من أدواتهم، قبل حظر الإصدارات القديمة .
5. الاستعداد لاستعادة BitLocker: أي تغيير في إعدادات الإقلاع الآمن قد يؤدي إلى طلب مفتاح استعادة BitLocker. قبل نشر التحديث، تأكد من أن مفاتيح الاستعادة محفوظة ويمكن لفريق الدعم الفني الوصول إليها لتجنب حدوث قفل جماعي للأجهزة.
6. نشر التحديث على مراحل: استخدم نهجاً تدريجياً، بدءاً من قسم تقنية المعلومات، ثم مجموعة تجريبية من المستخدمين، وأخيراً النشر الواسع، مع مراقبة كل مرحلة بحثاً عن أي مشاكل في سلامة الإقلاع.

ثغرة CVE-2026-8863 بمثابة تذكير قوي بأن حماية الإقلاع الآمن فعالة فقط بقدر قوة منظومة الأكواد الخارجية الموثوقة التي تتعامل معها. التدقيق المستمر واليقظ لبيئة ما قبل الإقلاع، والتطبيق السريع لتحديثات الإبطال في DBX، أصبحا الآن من المهام الأساسية والمستمرة للحفاظ على سلامة المنصة.