في عالم الأمن السيبراني، تمثل الثغرات الأمنية تهديدات خطيرة تتطلب الانتباه الفوري. في هذا المقال، نستعرض تفاصيل استغلال سلسلة تسمم EPM في نظام ويندوز وكيف يمكن أن تؤدي إلى تصعيد الامتيازات في النطاق.
تفاصيل استغلال سلسلة تسمم EPM في ويندوز تؤدي إلى تصعيد الامتيازات في النطاق
قدم باحثو الأمن السيبراني نتائج جديدة تتعلق بمشكلة أمنية تم تصحيحها الآن في بروتوكول الاتصال Windows Remote Procedure Call (RPC) الخاص بشركة مايكروسوفت، والتي يمكن أن يستغلها المهاجم لإجراء هجمات انتحال الشخصية والتظاهر كخادم معروف.
تم تتبع الثغرة، التي تم تصنيفها كـ CVE-2025-49760 (درجة CVSS: 3.5)، من قبل العملاق التكنولوجي على أنها خطأ تسمم تخزين ويندوز. تم إصلاحها في يوليو 2025 كجزء من تحديث Patch Tuesday الشهري. تم مشاركة تفاصيل العيب الأمني من قبل الباحث رون بن يزحاك في مؤتمر DEF CON 33 للأمن هذا الأسبوع.
“التحكم الخارجي في اسم الملف أو المسار في تخزين ويندوز يسمح لمهاجم مخول بإجراء انتحال عبر الشبكة،” قالت الشركة في إشعار صدر الشهر الماضي.
يستخدم بروتوكول RPC في ويندوز معرفات فريدة عالمياً (UUIDs) وEndpoint Mapper (EPM) لتمكين استخدام نقاط نهاية ديناميكية في اتصالات العميل والخادم، وربط عميل RPC بنقطة نهاية مسجلة من قبل خادم.
تجعل الثغرة من الممكن بشكل أساسي التلاعب بمكون أساسي من بروتوكول RPC وتنفيذ ما يسمى بهجوم تسمم EPM، مما يسمح للمستخدمين غير المصرح لهم بالتظاهر كخدمة شرعية مدمجة بهدف إكراه عملية محمية على المصادقة ضد خادم عشوائي يختاره المهاجم.
نظرًا لأن وظيفة EPM تشبه وظيفة نظام أسماء النطاقات (DNS) – حيث تقوم بربط UUID واجهة بنقطة نهاية، تمامًا كما يقوم DNS بحل اسم النطاق إلى عنوان IP – فإن الهجوم يتطور مثل تسمم DNS، حيث يقوم المهاجم بالتلاعب ببيانات DNS لإعادة توجيه المستخدمين إلى مواقع ويب خبيثة.
- تسمم EPM
- التظاهر كخادم RPC شرعي
- التلاعب بعملاء RPC
- تحقيق تصعيد الامتيازات المحلية/النطاق عبر هجوم ESC8
“لقد صدمت لاكتشاف أنه لم يكن هناك ما يمنعني من تسجيل واجهات معروفة ومدمجة تنتمي إلى خدمات أساسية،” قال بن يزحاك في تقرير تم مشاركته مع The Hacker News. “كنت أتوقع، على سبيل المثال، أنه إذا كان لدى Windows Defender معرف فريد، فلن يتمكن أي عملية أخرى من تسجيله. لكن لم يكن هذا هو الحال.”
“عندما حاولت تسجيل واجهة خدمة كانت متوقفة، اتصل عميلها بي بدلاً من ذلك. كانت هذه النتيجة لا تصدق – لم يتم تنفيذ أي فحوصات أمنية من قبل EPM. اتصلت العملاء بعملية غير معروفة لم تكن تعمل حتى بامتيازات المسؤول.”
تتمحور جوهر الهجوم حول العثور على واجهات غير مرتبطة بنقطة نهاية، بالإضافة إلى تلك التي يمكن تسجيلها بعد بدء النظام مباشرة من خلال الاستفادة من حقيقة أن العديد من الخدمات تم تعيينها على “بدء مؤجل” لأسباب تتعلق بالأداء، مما يجعل عملية التمهيد أسرع.
بعبارة أخرى، أي خدمة ذات بدء يدوي هي خطر أمني، حيث لن يتم تسجيل واجهة RPC عند التمهيد، مما يجعلها عرضة للاختطاف من خلال السماح لمهاجم بتسجيل واجهة قبل أن تقوم الخدمة الأصلية بذلك.
أصدرت SafeBreach أيضًا أداة تُدعى RPC-Racer يمكن استخدامها للإشارة إلى خدمات RPC غير الآمنة (مثل خدمة التخزين أو StorSvc.dll) والتلاعب بعملية Protected Process Light (PPL) (مثل خدمة تحسين التسليم أو DoSvc.dll) لمصادقة حساب الجهاز ضد أي خادم يختاره المهاجم.
تضمن تقنية PPL أن نظام التشغيل يقوم بتحميل الخدمات والعمليات الموثوقة فقط، ويحمي العمليات الجارية من الإنهاء أو العدوى بواسطة الشيفرات الخبيثة. تم تقديمها من قبل مايكروسوفت مع إصدار Windows 8.1.
على مستوى عالٍ، تتكون سلسلة الهجوم بالكامل من الخطوات التالية –
- إنشاء مهمة مجدولة سيتم تنفيذها عند تسجيل دخول المستخدم الحالي
- تسجيل واجهة خدمة التخزين
- تحفيز خدمة تحسين التسليم لإرسال طلب RPC إلى خدمة التخزين، مما يؤدي إلى اتصالها بنقطة النهاية الديناميكية للمهاجم
- استدعاء الطريقة GetStorageDeviceInfo()، مما يتسبب في تلقي خدمة تحسين التسليم لمشاركة SMB إلى خادم غير شرعي تم إعداده بواسطة المهاجم
- تقوم خدمة تحسين التسليم بالمصادقة مع خادم SMB الخبيث باستخدام بيانات اعتماد حساب الجهاز، مما يؤدي إلى تسرب تجزئة NTLM
- تنفيذ هجوم ESC8 لنقل تجزئات NTLM القسرية إلى خدمات تسجيل الشهادات المستندة إلى الويب (AD CS) وتحقيق تصعيد الامتيازات
لإنجاز ذلك، يمكن استخدام أداة مفتوحة المصدر هجومية مثل Certipy لطلب تذكرة Kerberos Ticket-Granting Ticket (TGT) باستخدام الشهادة التي تم إنشاؤها عن طريق تمرير معلومات NTLM إلى خادم AD CS، ثم الاستفادة منها لتفريغ جميع الأسرار من وحدة التحكم في النطاق.
ذكرت SafeBreach أن تقنية تسمم EPM يمكن توسيعها بشكل أكبر لإجراء هجمات adversary-in-the-middle (AitM) وهجمات الحرمان من الخدمة (DoS) من خلال إعادة توجيه الطلبات إلى الخدمة الأصلية أو تسجيل العديد من الواجهات ورفض الطلبات، على التوالي. كما أشارت الشركة إلى أنه قد تكون هناك عملاء وواجهات أخرى من المحتمل أن تكون عرضة لتسمم EPM.
لتحسين اكتشاف هذه الأنواع من الهجمات، يمكن لمنتجات الأمان مراقبة المكالمات إلى RpcEpRegister واستخدام Event Tracing for Windows (ETW)، وهي ميزة أمان تقوم بتسجيل الأحداث التي تثيرها التطبيقات في وضع المستخدم ومحركات الأقراص في وضع النواة.
“تمامًا كما يتحقق SSL pinning من أن الشهادة ليست فقط صالحة ولكن تستخدم مفتاحًا عامًا محددًا، يجب التحقق من هوية خادم RPC،” قال بن يزحاك.
“التصميم الحالي لمخطط نقاط النهاية (EPM) لا يقوم بإجراء هذا التحقق. بدون هذا التحقق، سيقبل العملاء البيانات من مصادر غير معروفة. إن الثقة بهذه البيانات بشكل أعمى يسمح للمهاجم بالتحكم في إجراءات العميل والتلاعب بها وفقًا لرغبات المهاجم.”
مع تزايد التهديدات السيبرانية، من الضروري أن تكون على دراية بأحدث الثغرات الأمنية. تابعنا لمزيد من المعلومات حول كيفية حماية أنظمتك من هذه الأنواع من الهجمات.
