داخل القنبلة الموقوتة لـ SMB: كيف يترك خلل في Windows خدمة Active Directory مكشوفة على مصراعيها

ثغرة مكتشفة حديثًا في عميل Windows SMB تمكّن المهاجمين من الاستيلاء على نطاقات مؤسسية كاملة - حتى في البيئات التي يُفترض أنها «مُحصّنة».

تبدو كحبكة فيلم إثارة سيبراني: خلل مدفون عميقًا في شيفرة مصادقة Windows، ظل غير مكتشف لسنوات، يكشف فجأة آلاف المؤسسات أمام خطر اختراق شامل للنطاق. انسَ الأيام التي كان على المهاجمين فيها البحث عن خوادم غير مُحدَّثة أو خداع المستخدمين للنقر على روابط مشبوهة - فالآن، ثغرة دقيقة في الآلية ذاتها التي تؤمّن شبكتك قد تسلّم مفاتيح المملكة. فرق الأمن تتسابق، لكن الوقت ينفد.

حقائق سريعة

CVE-2025-33073 ثغرة حرجة في عميل Windows SMB بدرجة CVSS تبلغ 8.8.
يسمح الخلل للمهاجمين بترحيل المصادقة ورفع الامتيازات إلى SYSTEM على وحدات تحكم النطاق - حتى مع تفعيل توقيع SMB.
يستغل المهاجمون انعكاس NTLM وإزالة جزئية لرمز سلامة الرسالة (MIC) لتجاوز ضوابط الأمن التقليدية.
يتيح الاستغلال الناجح اختراقًا كاملًا لـ Active Directory، بما في ذلك تعديل المجموعات ذات الامتيازات وسرقة بيانات الاعتماد.
لا تزال معظم المؤسسات غير مُرقَّعة بعد أشهر من الإفصاح، مع توفر أدوات مؤتمتة لتسليح الاستغلال.

تشريح عملية سطو رقمية حديثة

في قلب التهديد تقع CVE-2025-33073، وهي ثغرة منطقية في كيفية تعامل Windows مع المصادقة عبر بروتوكول Server Message Block (SMB). وبينما وصفتها Microsoft بأنها «تحكم وصول غير سليم»، أظهر الباحثون أنها أخطر بكثير - انهيار جوهري في كيفية التفاوض على الثقة داخل شبكات المؤسسات.

إليك كيف تعمل: يستخدم المهاجمون تقنيات الإكراه (مثل هجوم PetitPotam سيئ السمعة) لإجبار جهاز الضحية على المصادقة إلى خادم يسيطر عليه المهاجم. ومن خلال تلاعب ذكي بسجلات DNS وأعلام المصادقة، يخدع المهاجم عميل SMB ليستخدم بيانات اعتماد محلية. ثم يكشف خطأ حرج في «هيئة الأمان المحلية» في Windows (LSASS) عن رمز مميز بمستوى SYSTEM، والذي يرحّله المهاجم مجددًا إلى جهاز الضحية نفسه. النتيجة؟ امتيازات SYSTEM كاملة، مع تجاوز حتى حماية توقيع SMB.

لكن الخطر لا يتوقف عند SMB. فمن خلال نزع بعض أعلام مصادقة NTLM مع الحفاظ على فحوصات السلامة، يمكن للمهاجمين ترحيل هذه الرموز عالية الامتياز إلى بروتوكولات أخرى - وتحديدًا LDAP وLDAPS، العمود الفقري لـ Active Directory. يتيح ذلك التلاعب المباشر بكائنات الدليل: إضافة حسابات مارقة إلى مجموعات ذات امتيازات، تغيير ضوابط الوصول، أو تنفيذ هجمات DCSync لسرقة قاعدة بيانات بيانات الاعتماد بالكامل. حتى البيئات المُحصّنة التي تفرض ربط القناة والتوقيع ليست بمنأى.

والأسوأ أن الباحثين أثبتوا أيضًا إمكانية تنفيذ هجمات انعكاس Kerberos، ما يضاعف مسارات التهديد. الأدوات المؤتمتة تجعل الاستغلال شبه تافه، ويذكر مختبرو الاختراق أنهم يعثرون على مضيفين ضعفاء عبر شبكات الشركات - محطات عمل، ووحدات تحكم نطاق، وحتى أصول ما يُسمّى «المستوى الصفري».

وعلى الرغم من الإفصاح العلني، لا تزال معظم المؤسسات مكشوفة. التصحيح ضروري، لكنه غير كافٍ. يحث الخبراء على إصلاحات شاملة: فرض توقيع SMB في كل مكان، تقييد تسجيلات DNS، تقسيم نطاقات الشبكة، حظر أساليب المصادقة غير الآمنة، ومراقبة تدفقات المصادقة غير الطبيعية. باختصار، يجب على المؤسسات إعادة التفكير في كيفية تأمين الأساس ذاته لبنية الهوية لديها.

الرهانات: الثقة، مكسورة

تُظهر هذه الثغرة حقيقة مُقلقة: حتى البروتوكولات المصممة لإبقائنا آمنين يمكن أن تتحول إلى أدوات هجوم في الأيدي الخطأ. ومع ازدياد تطور المهاجمين، فإن الدفاع عن المؤسسة يعني التشكيك في الافتراضات المضمّنة في آليات أمنية عمرها عقود. في الوقت الراهن، السباق قائم - هل سيتمكن المدافعون من سد الشقوق قبل أن يتصدر الاختراق التالي العناوين؟

WIKICROOK

SMB (Server Message Block): SMB (Server Message Block) هو بروتوكول يتيح لأجهزة الكمبيوتر مشاركة الملفات والطابعات والموارد عبر الشبكة، ويُستخدم شائعًا في أنظمة Windows.
NTLM (NT LAN Manager): NTLM هو بروتوكول مصادقة قديم في Windows معرّض لهجمات الترحيل والانعكاس. ويجري استبداله بطرق أكثر أمانًا مثل Kerberos.
LSASS (Local Security Authority Subsystem Service): LSASS خدمة أساسية في Windows تدير سياسات الأمان ومصادقة المستخدمين، وتضمن أن المستخدمين المصرّح لهم فقط يمكنهم الوصول إلى موارد النظام.
MIC (Message Integrity Code): رمز سلامة الرسالة (MIC) هو مجموع اختباري تشفيري يتحقق من سلامة الرسالة، ويضمن عدم العبث بها أثناء الإرسال.
هجوم DCSync: يتيح هجوم DCSync للمهاجمين استخراج بيانات الاعتماد من وحدات تحكم النطاق عبر محاكاة طلبات نسخ متماثل شرعية، ما يشكل تهديدًا كبيرًا لأمن Active Directory.