كشف باحثون في الأمن السيبراني عن تفاصيل جديدة حول ثغرة أمنية – تم إصلاحها مؤخرًا – في بروتوكول Windows Remote Procedure Call (RPC) يمكن استغلالها لتنفيذ هجمات انتحال هوية الخوادم الموثوقة ورفع صلاحيات النطاق.
الثغرة، التي تم تتبعها بالمعرّف CVE-2025-49760 وحصلت على درجة CVSS 3.5، وصفتها مايكروسوفت بأنها خطأ في انتحال هوية تخزين Windows، وقد تم تصحيحها في يوليو 2025 ضمن تحديثات Patch Tuesday. وكشف الباحث Ron Ben Yizhak من شركة SafeBreach تفاصيل الاستغلال خلال مؤتمر DEF CON 33.
ثغرة في آلية تخزين Windows تسمح بانتحال الهوية
وفقًا لمايكروسوفت، فإن التحكم الخارجي في اسم أو مسار الملف داخل Windows Storage يتيح للمهاجم المصرح له تنفيذ هجمات انتحال عبر الشبكة.
بروتوكول Windows RPC يعتمد على المعرفات الفريدة (UUIDs) وخدمة Endpoint Mapper (EPM) لتمكين الاتصالات الديناميكية بين العميل والخادم، وتوصيل عميل RPC بنقطة نهاية مسجلة من قِبل الخادم.
الثغرة تتيح التلاعب بمكون أساسي في بروتوكول RPC وشن هجوم يُعرف باسم EPM poisoning، ما يسمح للمهاجمين غير المصرح لهم بانتحال هوية خدمة أساسية وإجبار عملية محمية على الاتصال بخادم يختاره المهاجم.
تشابه مع هجمات DNS Poisoning
تعمل خدمة EPM بطريقة مشابهة لنظام أسماء النطاقات (DNS) حيث تقوم بربط معرف الواجهة بنقطة نهاية، مثلما يحل DNS النطاق إلى عنوان IP. واستغلال هذه الثغرة يشبه هجمات DNS poisoning التي يتم فيها توجيه المستخدمين إلى مواقع خبيثة عبر التلاعب ببيانات DNS.
سلسلة الهجوم تتضمن:
-
تسميم خدمة EPM
-
انتحال هوية خادم RPC موثوق
-
التلاعب بعملاء RPC
-
رفع الصلاحيات المحلية أو صلاحيات النطاق عبر هجوم ESC8
غياب التحقق الأمني في EPM
أوضح الباحث Ben Yizhak أنه فوجئ بقدرته على تسجيل واجهات معروفة تعود لخدمات أساسية، حتى تلك التي لم تكن تعمل. وأشار إلى أن EPM لا ينفذ أي تحقق أمني يمنع ربط العملاء بعمليات غير معروفة، حتى لو لم تكن تعمل بصلاحيات المسؤول.
تكمن الفكرة في استهداف الواجهات التي لا تكون مرتبطة بنقطة نهاية، أو استغلال فترة إقلاع النظام لتسجيل الواجهة قبل تشغيل الخدمة الأصلية، خاصة وأن بعض الخدمات تستخدم خاصية “التشغيل المؤجل” لتحسين الأداء.
أداة لاكتشاف الخدمات غير الآمنة واستغلالها
أصدرت SafeBreach أداة باسم RPC-Racer لاكتشاف خدمات RPC غير الآمنة مثل Storage Service، واستغلال عمليات Protected Process Light (PPL) مثل Delivery Optimization لإجبار النظام على الاتصال بخادم SMB خبيث، ما يؤدي إلى تسريب تجزئة NTLM لحساب الجهاز.
بمجرد الحصول على هذه البيانات، يمكن تنفيذ هجوم ESC8 لتمرير التجزئة إلى خدمات Active Directory Certificate Services (AD CS) والحصول على تذكرة Kerberos TGT باستخدام أداة مفتوحة المصدر مثل Certipy، ما يسمح باستخراج جميع البيانات من خادم النطاق.
توسيع نطاق الهجوم وتقنيات الكشف
أكدت الشركة أن تقنية EPM poisoning يمكن استخدامها أيضًا لتنفيذ هجمات Adversary-in-the-Middle (AitM) أو هجمات حجب الخدمة (DoS) عبر تسجيل واجهات متعددة أو إعادة توجيه الطلبات للخدمة الأصلية.
ولتقليل المخاطر، يمكن لمنتجات الأمن مراقبة استدعاءات RpcEpRegister واستخدام Event Tracing for Windows (ETW) لرصد الأحداث المشبوهة.
وأشار الباحث إلى أن تصميم EPM الحالي لا يتحقق من هوية خادم RPC، مما يسمح للعملاء بقبول بيانات من مصادر مجهولة، وبالتالي منح المهاجم القدرة على التحكم الكامل في سلوك العميل.
