يستغل المتسللون ثغرات مصادقة N T M لاستهداف أنظمة Windows

 

 

 بعد أكثر من عقدين من اكتشافه لأول مرة، لا يزال بروتوكول مصادقة NTM يُشكل تهديدًا كبيرًا لأنظمة ويندوز حول العالم.

ما بدأ عام 2001 كنقطة ضعف نظرية، تطور إلى أزمة أمنية واسعة النطاق، حيث استغل المهاجمون ثغرات متعددة في NTM لاختراق الشبكات في مختلف المناطق.

 صُمم بروتوكول الشبكة المحلية الجديدة (NTM) لمصادقة العملاء والخوادم في بيئات ويندوز باستخدام عملية مصافحة من ثلاث خطوات.

على الرغم من مايكروسوفت عن خططها لإيقاف NTM نهائيًا، بدءًا من Windows 11 24H2 وWindows Server 2025، إلا أن البروتوكول لا يزال مُدمجًا في ملايين الأنظمة.

هذا الثبات يُتيح المجال لمجرمي الإنترنت الذين يواصلون اكتشاف واستغلال ثغرات أمنية جديدة في آليات NTM القديمة.

 نواقل هجوم متعددة قيد الاستغلال النشط

تُتيح ثغرات NTM العديد من أساليب الهجوم الخطيرة. يحدث تسرب التجزئة عندما يُنشئ المهاجمون ملفات ضارة تخدع نظام Windows لإرسال تجزئات مصادقة دون الحاجة إلى تفاعل المستخدم.

 

 معرف CVE: شدة تأثير الأنظمة المتأثرة على الحملات المعروفة

CVE-2024-43451: تسرب تجزئة Windows عالي (إصدارات متعددة)، اختراق بيانات الاعتماد BlindEagle (Remcos RAT)، Head Mare

CVE-2025-24054/CVE-2025-24071: Windows 11 عالي، تسرب تجزئة Windows Server، انتشار أحصنة طروادة ذات وصول غير مصرح به في روسيا (AveMaria/Warzone)

CVE-2025-33073: تصعيد امتيازات Windows عالي (عميل SMB) إلى مستوى النظام: هجوم القطاع المالي في أوزبكستان

 تُجبر الهجمات القائمة على الإكراه الأنظمة على المصادقة على خدمات يتحكم بها المهاجم.

بمجرد اختراق بيانات الاعتماد، يستخدم المهاجمون تقنيات إعادة توجيه بيانات الاعتماد، مثل P t - H، للتنقل أفقيًا عبر الشبكات وتصعيد الامتيازات دون معرفة كلمات المرور الفعلية.

 لا تزال هجمات الرجل في المنتصف فعالة بشكل خاص، حيث ظلّ ترحيل NTM الأسلوب الأكثر تأثيرًا لعقدين من الزمن. يتمركز المهاجمون بين العملاء والخوادم لاعتراض حركة مرور المصادقة والحصول على بيانات الاعتماد.

حدد  الأمن العديد من ثغرات NTM الحرجة التي تُستغل بنشاط حاليًا في عامي 2024 و2025.

 يُمكّن CVE-2024-43451 من تسريب تجزئة N T Mv2 عبر ملفات .url ضارة. بمجرد التفاعل مع هذه الملفات، سواءً بالنقر عليها أو النقر بزر الماوس الأيمن أو نقلها، يتم الاتصال تلقائيًا بخوادم المهاجم التي تُشغّل WebDAV.

استغلت مجموعة B E g APT هذه الثغرة لتوزيع R s RAT على أهداف كولومبية. في الوقت نفسه، استغلها نشطاء القرصنة H d M ضد منظمات روسية وبيلاروسية.

 يستهدف CVE-2025-24054 وCVE-2025-24071 ملفات .l y-ms داخل أرشيفات ZIP، مما يُسبب مصادقة NTM تلقائية للخوادم التي يتحكم بها المهاجم. اكتشف الباحثون حملات في روسيا توزع حصان طروادة A e M a باستخدام هذه الطريقة.

يمثل CVE-2025-33073 هجوم انعكاس خطير. يتلاعب المهاجمون بسجلات DNS لخداع Windows ليتعامل مع طلبات المصادقة الخارجية على أنها محلية، متجاوزين بذلك فحوصات الأمان المعتادة ومنحهم امتيازات على مستوى النظام.

  لـ S L t، تم رصد نشاط مشبوه يستغل هذه الثغرة في القطاع المالي في أوزبكستان.

على الرغم من معالجة مايكروسوفت لهذه الثغرات من خلال التحديثات، فإن استمرار وجود البروتوكول القديم في شبكات المؤسسات يعني استمرار الهجمات.

تظل المؤسسات التي تُحافظ على NTM لضمان توافقها مع التطبيقات القديمة عُرضة للخطر بشكل خاص. ينبغي على فرق الأمن إعطاء الأولوية للانتقال إلى كيلوبايت، وتطبيق تجزئة الشبكة، ومراقبة محاولات المصادقة المشبوهة عبر بنية Windows التحتية.