مايكروسوفت تحذر من إمكانية تجاوز ميزة التمهيد الآمن عند انتهاء صلاحية شهادات UEFI الخاصة بنظام ويندوز

 

 

 مايكروسوفت تحديثات  التصحيحي لشهر يناير 2026، لمعالجة ثغرة أمنية خطيرة في شهادات التمهيد الآمن لنظام ويندوز، تحمل الرقم CVE-2026-21265.

تنشأ هذه الثغرة من انتهاء صلاحية شهادات تعود لعام 2011، والتي تُشكل أساس سلسلة الثقة في التمهيد الآمن، مما قد يسمح للمهاجمين بتعطيل سلامة عملية التمهيد في حال عدم تحديثها.

صُنفت هذه الثغرة بأنها "مهمة" وحصلت على درجة أساسية 6.4 وفقًا لمعيار CVSS v3.1، وتتطلب الوصول المحلي، وصلاحيات عالية، وتعقيدًا كبيرًا في الهجوم، مما يجعل استغلالها أقل احتمالًا. 

تنشأ ثغرة CVE-2026-21265 لأن شهادات مايكروسوفت المخزنة في UEFI KEK وDB تقترب من تاريخ انتهاء صلاحيتها في منتصف عام 2026، مما يُعرّض خاصية التمهيد الآمن لخطر الفشل في حال عدم تحديثها.

يمكن أن تؤدي عيوب البرامج الثابتة في آلية تحديث شهادات نظام التشغيل إلى تعطيل سلسلة الثقة، مما يُعرّض مدير تمهيد ويندوز وبرامج التحميل الخارجية للخطر. وقد تم الكشف عن هذه الثغرة علنًا، ولكن لم يتم استغلالها بعد في بيئات حقيقية، لذا تحث مايكروسوفت على النشر الفوري لشهادات بديلة لعام 2023.

يجب تجديد ثلاث شهادات رئيسية من عام 2011 لضمان استمرار خاصية التمهيد الآمن:

جهة إصدار الشهادة | الموقع | الغرض | تاريخ الانتهاء
شركة مايكروسوفت | KEK CA 2011 | KEK يوقع تحديثات DB وDBX | 24/06/2026
شركة مايكروسوفت | UEFI CA 2011 | DB يوقع برامج تحميل الإقلاع الخارجية، وذاكرة القراءة فقط الاختيارية | 27/06/2026
مايكروسوفت ويندوز للإنتاج | PCA 2011 | DB يوقع مدير إقلاع ويندوز | 19/10/2026

يؤدي عدم التحديث إلى تعريض الأجهزة لهجمات أثناء بدء التشغيل، كما ورد في نوفمبر 2025.

الأنظمة والتحديثات المتأثرة

تستهدف التحديثات أنظمة Windows Server القديمة وإصدارات الدعم الموسع، وجميعها تتطلب إجراءً من المستخدم.

المنتج | مقالة قاعدة المعارف | رقم الإصدار | نوع التحديث
Windows Server 2012 R2 (Core) | 5073696 | 6.3.9600.22968 | حزمة التحديثات الشهرية
Windows Server 2012 R2 | 5073696 | 6.3.9600.22968 | حزمة التحديثات الشهرية
Windows Server 2012 (Core) | 5073698 | 6.2.9200.25868 | حزمة التحديثات الشهرية
Windows Server 2012 | 5073698 | 6.2.9200.25868 | حزمة التحديثات الشهرية
Windows Server 2016 (Core) | 5073722 | 10.0.14393.8783 | تحديث أمني
Windows Server 2016 | 5073722 | 10.0.14393.8783 | تحديث أمني
Windows 10 تحديث أمني لنظام التشغيل Windows 10 الإصدار 1607 x64 5073722​ 10.0.14393.8783
تحديث أمني لنظام التشغيل Windows 10 الإصدار 1607 x86 5073722​ 10.0.14393.8783 

ينبغي للمؤسسات التي تعتمد على تحديثات مُدارة من قِبل قسم تقنية المعلومات أو مايكروسوفت إعطاء الأولوية للنشر. تحقق من توافق البرامج الثابتة لتجنب مشاكل بدء التشغيل بعد التحديث.