CVE-2026-45657: פגיעות גרעין Windows שמאפשרת לתוקף להשתלט על כל מחשב ברשת — ללא סיסמה

דמיינו שאתם שולחים מנת רשת אחת — חבילת נתונים קטנה, כמו גלויה דיגיטלית — לכיוון מחשב Windows ברשת. לא צריך לדעת סיסמה. לא צריך שמשתמש יפתח קובץ. לא צריך שום אינטראקציה מהצד השני. תוך שניות, אתם שולטים על המכשיר כולו — ברמת ההרשאה הגבוהה ביותר שקיימת במערכת ההפעלה. ואז, כמו וירוס ביולוגי, הקוד שהרצתם מתחיל לחפש מחשבי Windows נוספים ברשת ולחזור על התהליך מאליו.

זה לא תרחיש עתידי. זה מה שמאפשרת CVE-2026-45657 — פגיעות קריטית בגרעין Windows שתוקנה ב-Patch Tuesday של יוני 2026 עם ציון CVSS של 9.8 מתוך 10. היא פוגעת בכל גרסאות Windows 11 ו-Windows Server הנתמכות — ולפי מחקרים ראשוניים, היא בעלת פרופיל “תולעת”: יכולת להתפשט מעצמה ברשתות שלמות ללא מגע יד אדם.

מה זה “גרעין” Windows ולמה הוא כל כך רגיש?

כדי להבין למה הפגיעות הזו כל כך חמורה, צריך להבין מה זה גרעין (Kernel). דמיינו מערכת הפעלה כמו מכונית. המשתמשים — הנוסעים — יושבים במושבים ויכולים לשלוט בדברים מסוימים: לפתוח חלון, לכוון את המזגן. מנהל המערכת (Administrator) יושב ליד ההגה ויכול לתמרן. אבל הגרעין? הוא המנוע עצמו — הלב של המכונית שמחבר הכל יחד ושולט בכל מה שקורה מתחת למכסה המנוע.

הגרעין הוא שכבת התוכנה הפנימית ביותר של מערכת ההפעלה. הוא מנהל את הזיכרון, מתקשר ישירות עם החומרה (מעבד, כרטיס רשת, דיסק), ומחליט מה כל תוכנה מורשית לעשות. קוד שרץ ברמת גרעין — ברמת SYSTEM — יכול לעשות הכל: להתקין תוכנות, לקרוא ולכתוב כל קובץ במערכת, לכבות את כל פתרונות האבטחה, לגשת לזיכרון של כל תהליך אחר. אין מגבלות. אין בלמים. אין תיבת חול.

זו הסיבה שפגיעות ברמת הגרעין היא הסוג המסוכן ביותר: תוקף שמגיע לשם לא מחפש “דלת אחורית קטנה” — הוא פשוט הופך להיות המחשב.

הפגיעות הטכנית: שני סוגי באגים שמשתלבים יחד

CVE-2026-45657 מורכבת משילוב של שני פגמים נפרדים שקיימים בקוד עיבוד תעבורת TCP/IP בגרעין Windows. כל אחד מהם מסוכן לבדו — יחד הם הרסניים.

הבאג הראשון: Use-After-Free (CWE-416) — שימוש בחדר שמישהו אחר כבר גר בו

תארו לעצמכם מלון. אתם מקבלים מפתח לחדר 207 בצ’ק-אין. לאחר הצ’ק-אאוט, המפתח “אמור” להפסיק לעבוד. אבל בגלל באג במערכת, המפתח הישן עדיין פותח את הדלת — גם אחרי שהחדר הושכר לאורח חדש. עכשיו אתם יכולים להיכנס לחדרו של מישהו אחר, לקרוא את מזוודותיו, להחליף את תכולתן.

בתכנות, Use-After-Free פועל באותו עיקרון: שטח זיכרון מסוים מוקצה לצורך מסוים ואחר כך “משוחרר” — אמור להיות זמין לשימוש אחר. אבל הקוד שגורם לשחרור מחזיק עדיין מצביע (Pointer) — כתובת — לאותו מקום בזיכרון. אם תוקף יכול לשלוט בתוכן שיוכנס לאותו מקום בזיכרון לאחר השחרור, הוא שולט בקוד שהתוכנית “חושבת” שהיא מריצה.

הבאג השני: Heap-Based Buffer Overflow (CWE-122) — כוס שגולשת לשכנים

דמיינו שורה של כוסות פלסטיק. לכל כוס יש את הנוזל שלה. ממלאים כוס אחת מעל גדותיה — הנוזל גולש לכוסות הסמוכות ומתערבב בתוכנן.

הצפת מאגר היא בדיוק זה: הגרעין מקצה מקום זיכרון (“מאגר”) בגודל מסוים לאחסון נתוני בקשת רשת. כאשר בקשה גדולה מהצפוי מגיעה, הנתונים “גולשים” מעבר לגבולות המאגר — ומחליפים נתוני זיכרון שנמצאים ממש לצדו. באיזה נתונים? בדיוק בנתוני שליטה שהגרעין משתמש בהם כדי לדעת לאן להמשיך בביצוע הקוד.

השילוב הקטלני: Use-After-Free יוצרת חלון שדרכו תוקף יכול להכניס נתונים לשטח זיכרון קריטי. Buffer Overflow מאפשרת לו להגדיל את השליטה ולדרוס בדיוק את הנתונים שיגרמו לגרעין “לקפוץ” ולהריץ את קוד התוקף. יחד, שני הבאגים בקוד עיבוד TCP/IP יוצרים מסלול מובטח לביצוע קוד שרירותי ברמת SYSTEM.

מה גורם לפגיעות הזו להיות “תולעת”?

“תולעת” (Worm) בהקשר של אבטחת סייבר היא תוכנה זדונית שמתפשטת מעצמה — ללא כל עזרה מהמשתמש. אין צורך ללחוץ על קישור, לפתוח קובץ מצורף, להכניס דיסק. התולעת מוצאת את קורבנות הבאים שלה ומדביקה אותם אוטומטית.

CVE-2026-45657 עומדת בכל הקריטריונים ל”תולעת”:

  • ניצול רשתי מרחוק — התקיפה מגיעה דרך TCP/IP, כלומר דרך כל חיבור רשת רגיל
  • ללא אימות — לא צריך סיסמה, שם משתמש, תעודה או כל הרשאה מוקדמת
  • ללא אינטראקציה של המשתמש — המחשב הקורבן לא צריך לעשות שום דבר
  • תוצאה ברמת SYSTEM — קוד שרץ עם ההרשאות הגבוהות ביותר, כולל יכולת לסרוק את הרשת ולהדביק מחשבים נוספים

אנחנו ראינו כבר מה קורה כשפגיעות בפרופיל הזה מנוצלת בשטח: WannaCry (מאי 2017). אותה כופרה השתמשה ב-EternalBlue — פגיעות ב-SMB של Windows — כדי להתפשט ללא כל אינטראקציה אנושית. תוך 72 שעות הוצפנו למעלה מ-200,000 מחשבים ב-150 מדינות. בתי חולים בבריטניה סגרו חדרי מיון. מפעלי ייצור נסגרו. הנזק הכולל הוערך במיליארדי דולרים. עשור אחרי, EternalBlue עדיין מנוצל פעיל בשטח — כי ארגונים לא עדכנו.

CVE-2026-45657 היא EternalBlue של 2026. הפרופיל זהה. ההשלכות הפוטנציאליות — זהות.

שלב אחר שלב: איך המתקפה תיראה בפועל

שלב 1: סריקת הרשת

התוקף מריץ סריקת TCP כדי לאתר מחשבי Windows עם פורטים פתוחים הרלוונטיים לתעבורת TCP/IP. כלים כמו Nmap או Shodan מאפשרים לזהות אלפי יעדים פוטנציאליים בדקות.

שלב 2: שליחת מנות מעוצבות

התוקף שולח סדרת מנות TCP מעוצבות במיוחד — מנות שנראות תקינות למערכות סינון רגילות, אבל בפועל מנצלות את הבאג Use-After-Free בקוד עיבוד TCP/IP של הגרעין.

שלב 3: גרימת Heap Overflow בגרעין

מנות נוספות מנצלות את פגם ה-הצפת מאגר כדי לדרוס מבני זיכרון קריטיים בגרעין — ולכתוב לתוכם כתובת קוד בשליטת התוקף.

שלב 4: ביצוע קוד שרירותי ברמת SYSTEM

הגרעין “קופץ” לקוד של התוקף ומריץ אותו עם ההרשאות המלאות של SYSTEM. בנקודה הזו, התוקף שולט על המחשב לחלוטין.

שלב 5: התקנת דלת אחורית ופריסת כופרה

עם גישת SYSTEM, התוקף יכול לכבות את Windows Defender, להתקין Exploitים נוספים, ולפרוס כופרה. ניתן לבצע הסלמת הרשאות נוספת לשם שליטה מוחלטת על ה-Domain Controller.

שלב 6: תנועה רוחבית אוטומטית

הקוד שרץ ברמת SYSTEM מריץ סריקה של הרשת המקומית, מאתר מחשבי Windows נוספים, ושולח אליהם את אותן מנות TCP מעוצבות — ממחשב לא פרוץ למחשב פרוץ, ממנו לבא אחריו, ממנו לבא אחריו. תוך שעות, הרשת כולה עלולה להיות תחת שליטה זרה.

האם הפגיעות נוצלה בפועל?

נכון לתאריך פרסום פוסט זה (14 ביוני 2026), Microsoft לא דיווחה על ניצול פעיל בשטח. הפגיעות תוקנה ב-Patch Tuesday של 9 ביוני 2026, חמישה ימים לפני כתיבת שורות אלו.

אבל ניסיון העבר מלמד: עם כל Patch Tuesday, חוקרי אבטחה ברחבי העולם מנתחים את התיקונים כדי לרנדס-הנדס (Reverse Engineer) את הבאגים המקוריים. לעיתים קרובות, Proof-of-Concept (PoC) — קוד הדגמה שמוכיח שהפגיעות ניתנת לניצול — מפורסם בפורומים ציבוריים תוך ימים עד שבועות. ציון CVSS 9.8 ופרופיל תולעת יהפכו את הפגיעות הזו לאטרקטיבית במיוחד עבור קבוצות כופרה, מדינות לאום, ותוקפים אופורטוניסטיים.

CISA טרם הוסיפה את CVE-2026-45657 ל-Known Exploited Vulnerabilities Catalog, אך לפי פרסומים ממחקרי אבטחה, הסוכנות עוקבת אחרי הפגיעות מקרוב. חלון הזמן שבין פרסום ה-PoC לניצול פעיל בשטח מצטמצם משנה לשנה.

מה לעשות עכשיו?

עדכנו את Windows מיד

הצעד הקריטי ביותר הוא החלת עדכון האבטחה של יוני 2026 דרך Windows Update או WSUS (Windows Server Update Services). אם יש לכם מדיניות “freeze” על עדכונים בסביבת ייצור, פגיעות בציון CVSS 9.8 עם פרופיל תולעת היא בדיוק הסוג שדורש חריגה מהמדיניות.

אם עדכון מיידי אינו אפשרי — הגנות ביניים

  • הגבילו תעבורת TCP נכנסת בפריפריה — Firewall ו-ACL שמגבילים גישה לפורטים רלוונטיים ממקורות לא מזוהים
  • בצעו פילוח רשת (Network Segmentation) כדי להגביל את יכולת התנועה הרוחבית במקרה של פגיעה — מחשב שנפרץ לא יוכל “לראות” את כל שאר הרשת
  • הפעילו Microsoft Defender ATP עם הגדרות Behavioral Detection — חלק מהחתימות לזיהוי ניצול הפגיעות עשויות להיות זמינות

ניטור ותגובה

  • פקחו על תעבורת TCP חריגה — מנות גדולות ולא שגרתיות לפורטים שאינם בשימוש רגיל
  • חפשו סימני תנועה רוחבית — חיבורים פתאומיים בין מחשבים שאינם בדרך כלל בקשר זה עם זה
  • בקרו על יצירת תהליכים חדשים ברמת SYSTEM ממקורות שאינם Windows עצמו — זהו אחד הסימנים הראשונים לניצול מוצלח

סיכום

CVE-2026-45657 מייצגת את הקטגוריה המסוכנת ביותר של פגיעויות: גרעין מערכת ההפעלה, ללא אימות, עם יכולת התפשטות עצמאית ברשת, ותוצאה ברמת SYSTEM. זו לא פגיעות שדורשת “תנאים נדירים” — כל מחשב Windows 11 או Windows Server עם חיבור רשת הוא יעד פוטנציאלי.

WannaCry קרה לפני תשע שנים. נזקיו עדיין מורגשים היום — כי ארגונים דחו עדכון. אל תחזרו על אותה טעות.

עדכנו את Windows עכשיו. לא מחר. לא בסוף השבוע. עכשיו.


מקורות: Windows Forum | Tenable CVE | Microsoft Patch Tuesday June 2026

תגובות