Netcrook Logo
👤 KERNELWATCHER
🗓️ 27 Apr 2026   🌍 North America

شبح في الأسلاك: ثغرة PhantomRPC الشبحية في ويندوز تترك تصعيد الامتيازات على مصراعيه

العنوان الفرعي: ضعفٌ معماري كُشف حديثًا في نظام RPC الخاص بويندوز يتيح للمهاجمين اختطاف الامتيازات، ومع ذلك ترفض مايكروسوفت ترقيع هذا التهديد.

في يوم جمعة هادئ، فجّر اختصاصي أمن التطبيقات المتوسط حيدر كبيبو مفاجأة مدوّية: خللٌ منهجي يتربّص في صميم بنية نظام استدعاء الإجراءات عن بُعد (RPC) في ويندوز. أُطلق على هذه الثغرة اسم “PhantomRPC”، وهي لا تتطلب استغلالًا غريبًا من نوع يوم-صفر - بل مجرد قدرٍ بسيط من الوصول المحلي وبعض الانتحال الذكي. وبينما أغلقت مايكروسوفت الملف بهدوء، يحذّر خبراء الأمن من أن الخطر لم ينتهِ بعد. ومع تسابق المدافعين لحماية شبكاتهم، يبقى السؤال: كم شبحًا يطارد الأسلاك بالفعل؟

حقائق سريعة

  • PhantomRPC ثغرة غير مُرقّعة في ويندوز تُمكّن من تصعيد الامتيازات عبر انتحال RPC.
  • يمكن للمهاجمين نشر خوادم RPC خبيثة لاختطاف اتصالات ذات امتيازات إذا كانت الخدمات الشرعية غير متصلة.
  • كشف حيدر كبيبو من كاسبرسكي الثغرة، لكن مايكروسوفت صنّفتها “متوسطة الشدة” ورفضت ترقيعها.
  • لم يُصدر رقم CVE، وتتوفر استغلالات إثبات-مفهوم علنًا على GitHub.
  • تعتمد إجراءات التخفيف على إدارة الامتيازات بعناية والمراقبة - ولا يوجد إصلاح رسمي.

التهديد الشبح: كيف يترك ويندوز الباب مواربًا

يكمن جوهر ثغرة PhantomRPC في منظومة RPC في ويندوز، التي تتيح لعمليات البرمجيات التحدث إلى بعضها البعض - حتى عبر حدود الامتيازات. عندما لا تكون خدمة شرعية قيد التشغيل، يسمح ويندوز لأي عملية بأن تدّعي نقطة نهاية RPC الخاصة بها. وهذا يعني أن مهاجمًا يملك حتى وصولًا منخفض المستوى (على سبيل المثال، حساب Network Service مخترق) يمكنه تشغيل خادم خبيث متظاهرًا بأنه الحقيقي.

وهنا يتصاعد الخطر: إذا اتصلت عملية ذات امتيازات بهذا الخادم المزيّف، وكانت عملية المهاجم تمتلك الامتياز SeImpersonatePrivilege (وهو إذن شائع في كثير من حسابات الخدمات)، يمكن للمهاجم اختطاف الاتصال و“أن يصبح” المستخدم صاحب الامتياز - قافزًا من وصول منخفض المستوى مباشرة إلى صلاحيات SYSTEM أو المسؤول. وقد وجدت أبحاث كبيبو خمس مسارات مميزة لاستغلال ذلك، ونجح كود إثبات المفهوم لديه على Windows Server 2022 و2025، مع احتمال تأثر إصدارات أخرى.

وعلى الرغم من الخطر الواضح، جاءت استجابة مايكروسوفت فاترة. إذ جادلت بأن الثغرة ليست حرجة لأن SeImpersonatePrivilege مطلوب - متجاهلة حقيقة أن كثيرًا من حسابات الخدمات تمتلك هذا الامتياز أصلًا. لا ترقيع، لا CVE، لا مكافأة. تُرك باحثو الأمن وفرق تقنية المعلومات ليواجهوا الأمر وحدهم.

وبحسب كاسبرسكي، يتضمن التخفيف استراتيجيتين رئيسيتين: مراقبة نشاط RPC لرصد تسجيلات نقاط نهاية مشبوهة (خصوصًا عندما تكون الخدمات الشرعية متوقفة)، وتقييد منح الامتياز القوي SeImpersonatePrivilege بإحكام على العمليات المسموح لها. وفي بعض الحالات، قد يؤدي مجرد إبقاء الخدمات المعرضة قيد التشغيل إلى منع المهاجمين من اختطاف نقاط نهايتها. لكن هذه ضمادات، لا علاجات.

الخلاصة: غير مرئي، غير مُصلَح، وغير محسوم

ومع انقشاع الغبار، تظل PhantomRPC تذكيرًا صارخًا: أحيانًا لا تكمن أعمق الثغرات في شيفرة غامضة، بل في البنية التي نثق بها كل يوم. وإلى أن تعيد مايكروسوفت النظر، يجب على مدافعي ويندوز البقاء على أهبة الاستعداد - لأنه في عالم تصعيد الامتيازات، الأشباح حقيقية، وهي بالفعل داخل الجهاز.

WIKICROOK

  • استدعاء الإجراءات عن بُعد (RPC): استدعاء الإجراءات عن بُعد (RPC) هو بروتوكول يتيح للبرامج على أجهزة كمبيوتر مختلفة التواصل وطلب الخدمات كما لو كانت على الجهاز نفسه.
  • تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى امتيازات المسؤول على نظام أو شبكة.
  • SeImpersonatePrivilege: يتيح SeImpersonatePrivilege لعمليات ويندوز انتحال مستخدمين آخرين. وهو ضروري للخدمات، لكنه قد يُساء استخدامه لتصعيد الامتيازات إذا لم يُؤمَّن.
  • حساب SYSTEM: حساب SYSTEM في ويندوز هو الحساب الأعلى امتيازًا، ويمنح وصولًا غير مقيّد إلى جميع موارد النظام لعمليات نظام التشغيل والخدمات الأساسية.
  • إثبات: إثبات المفهوم (PoC) هو عرض يبيّن أن ثغرة أمن سيبراني يمكن استغلالها، ما يساعد على التحقق من المخاطر الحقيقية وتقييمها.
PhantomRPC privilege escalation Microsoft
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news