اكتشف باحثون أمنيّون ثغرة Zero-day جديدة في ويندوز يمكن أن تسمح للمهاجمين بسرقة بيانات NTLM من الضحايا بمجرد عرض ملفات ضارة داخل Windows Explorer. هذه الثغرة، التي لم تحصل بعد على معرّف CVE، تؤثر على جميع إصدارات ويندوز من Windows 7 وحتى Windows 11 الأحدث، بالإضافة إلى إصدارات Windows Server 2008 R2 حتى Server 2025.
كيف يتم استغلال الثغرة؟
- يستغل المهاجمون بروتوكول NTLM لتنفيذ هجمات الترحيل (NTLM Relay Attacks) أو هجمات تمرير التجزئة (Pass-the-Hash Attacks) لسرقة بيانات الاعتماد المشفرة.
- يكفي أن يقوم الضحية بفتح مجلد مشترك أو قرص USB يحتوي على ملف ضار، أو حتى معاينة ملف تم تنزيله تلقائيًا من موقع ويب خبيث.
- بمجرد حدوث ذلك، يتم إرسال بيانات NTLM إلى المهاجم، مما يتيح له استخدامها لتسجيل الدخول كالمستخدم المخترق والتنقل داخل الشبكة.
حلول مؤقتة عبر 0patch حتى تصدر مايكروسوفت إصلاحًا رسميًا
- وفّرت ACROS Security عبر منصتها 0patch تصحيحات مجانية وغير رسمية لهذه الثغرة لجميع إصدارات Windows المتأثرة، في انتظار التحديث الرسمي من مايكروسوفت.
- للتثبيت، يحتاج المستخدم إلى إنشاء حساب على 0patch وتثبيت وكيل الخدمة، حيث يتم تطبيق التصحيحات تلقائيًا دون الحاجة لإعادة تشغيل النظام.
موقف مايكروسوفت وردود الفعل
- أكّدت مايكروسوفت أنها على دراية بالتقارير حول هذه الثغرة، وستتخذ الإجراء اللازم لحماية المستخدمين.
- سبق أن تعاملت 0patch مع عدة ثغرات مشابهة، مثل:
- CVE-2025-21308 (ثغرة في سمات Windows Themes) – تم إصلاحها
- CVE-2025-21377 (ثغرة في ملفات URL) – تم إصلاحها
- ثغرات سابقة مثل PetitPotam و DFSCoerce لم تحصل بعد على تصحيحات رسمية
