استغلال جديد لهجوم NTLM Relay على Windows Server
تُعد الثغرات الأمنية في الأنظمة التشغيلية أحد التحديات الكبرى التي تواجه المؤسسات اليوم، حيث تمثل أحدث هذه التهديدات الثغرة المعروفة باسم CVE-2024-43532. هذه الثغرة، التي تم التعرف عليها في عميل التسجيل عن بعد الخاص بـ Microsoft، تتعلق بهجمات ترحيل بروتوكول NTLM، وتُعتبر بمثابة تطور جديد يتيح للمهاجمين الوصول إلى بيانات حساسة والتحكم في بيئات Windows Server من خلال استغلال نقاط الضعف الموجودة في النظام.
كيف تعمل الثغرة CVE-2024-43532؟
تستخدم الثغرة CVE-2024-43532 آلية احتياطية في تطبيق عميل تسجيل Windows (WinReg)، حيث تعتمد هذه الآلية على بروتوكولات النقل القديمة مثل TCP/IP في حال عدم توفر نقل SMB. هذا الأمر يسهل على المهاجم استغلال ضعف مستوى الأمان أثناء عملية المصادقة. من خلال ترحيل مصادقة NTLM إلى خدمات شهادات Active Directory (ADCS)، يمكن للمهاجمين الحصول على شهادات مستخدم لمزيد من السيطرة في البيئة المستهدفة.
التأثير على أنظمة Windows المختلفة
تؤثر هذه الثغرة على جميع إصدارات خادم Windows، بدءًا من 2008 وحتى 2025، بالإضافة إلى Windows 10 وWindows 11. إن نطاق التأثير الواسع يجعل من الضروري على المؤسسات اتخاذ تدابير فورية لتأمين أنظمتها. عدد من الجهات الفاعلة في مجال التهديد قد استخدمت أساليب مماثلة في السابق، مما أدى إلى السيطرة على مجالات Windows، كما هو الحال مع عصابة LockFile Ransomware، التي استهدفت منظمات متنوعة باستخدام تقنيات متطورة للهجوم.
تطور اكتشاف الثغرة الأمنية
تم اكتشاف الثغرة بواسطة أحد الباحثين في أمن المعلومات الذي قام بإبلاغ Microsoft عن وجودها في الأول من فبراير. ومع ذلك، تم رفض الشركة هذا التقرير اعتباراً من 25 أبريل. بعد إعادة تقديم التقرير منتصف يونيو، تم تأكيد الثغرة من قبل Microsoft في 8 يوليو. ومن ثم، بعد مرور ثلاثة أشهر، أصدرت الشركة إصلاحًا قادرًا على معالجة هذه المشكلة.
إثبات المفهوم وتأكيد التهديدات الأمنية
أصدر الباحث إثبات مفهوم (PoC) للثغرة الأمنية وأوضح عملية الاستغلال خلال مؤتمر No Hat الأمني في بيرغامو، إيطاليا. يقدم هذا الإثبات شرحًا شاملًا حول كيفية التلاعب بالنظام من خلال إنشاء خادم ترحيل وتحويل بيانات المصادقة. بالإضافة إلى ذلك، يوفر تقرير أمان آخر مجموعة من الأدوات، منها طريقة لاكتشاف ما إذا كانت خدمة التسجيل عن بعد مفعلة، وقاعدة YARA لاكتشاف العملاء الذين يستخدمون WinAPI المعرضين للخطر.
التوصيات والإجراءات الوقائية
للحد من المخاطر المرتبطة بالثغرة CVE-2024-43532، يُنصح بإجراء فحص دوري على الأنظمة للتأكد من أنها محدثة وأن خدمات التسجيل عن بعد مقيدة على الأرواح القابلة للاستغلال. يُفضل أيضًا استخدام Event Tracing for Windows (ETW) لمراقبة مكالمات RPC المحددة، بما في ذلك تلك المرتبطة بواجهة WinReg RPC.
في الختام، يعد استغلال الثغرة CVE-2024-43532 تطورًا خطيرًا في عالم التهديدات الإلكترونية، مما يستلزم من المؤسسات اتخاذ خطوات جادة لتأمين أنظمتها. إن الاتكال على بروتوكولات أمان حديثة ومراقبة دورية لمستوى الحماية يُعد أمرًا بالغ الأهمية في هذا السياق. لذلك، تبقى الشركات أمام تحدٍ كبير بضرورة تعديل استراتيجياتها الأمنية لتسبقه بوقت كافٍ.
