أعلنت مايكروسوفت عن تعطيل ميزة معاينة الملفات في مستكشف الملفات (File Explorer Preview Pane) للملفات التي تم تنزيلها من الإنترنت — أي تلك الموسومة بعلامة “Mark of the Web” — وذلك ضمن تحديثات الثلاثاء التصحيحية الأخيرة (Patch Tuesday). وجاء القرار بهدف سد ثغرة أمنية خطيرة كانت تتيح تسريب تجزئات مصادقة NTLM عند معاينة ملفات تحتوي على وسوم HTML تشير إلى مسارات خارجية.
خلفية القرار والثغرة التي تسببت فيه
أوضحت مايكروسوفت أن الخطر يكمن في طريقة تعامل “معاينة الملفات” مع الوسوم المضمنة في ملفات HTML أو المستندات التي تحتوي على مكونات مثل <link> أو <src> أو غيرها من الوسوم التي تستدعي موارد من الإنترنت. فعند قيام المستخدم بمعاينة مثل هذا الملف في جزء المعاينة، يحاول النظام تحميل الموارد المشار إليها خارجيًا، ما يؤدي إلى تسريب تجزئات NTLM إلى خوادم يسيطر عليها المهاجم — وهو ما يسمح بسرقة بيانات اعتماد حساسة دون أي تفاعل من المستخدم.
كيف تم تعديل السلوك الأمني في النظام
بعد تثبيت التحديثات الجديدة، لن يعرض File Explorer معاينة مباشرة للملفات القادمة من الإنترنت. وبدلًا من ذلك، سيظهر تحذير نصه:
“الملف الذي تحاول معاينته قد يضر بجهاز الكمبيوتر الخاص بك. إذا كنت تثق في الملف والمصدر الذي حصلت عليه منه، افتحه لعرض محتواه.”
إذا أراد المستخدم تجاوز هذا الحظر، فعليه النقر بزر الفأرة الأيمن على الملف، واختيار “خصائص (Properties)” ثم تفعيل خيار “إلغاء الحظر (Unblock)” يدويًا. هذا الإجراء يضمن أن فتح الملفات المعاينة يتم فقط بعد تأكيد المستخدم المسبق لموثوقية المصدر.
صلة القرار بسلسلة الثغرات الأمنية الأخيرة
تعتقد مايكروسوفت أن هذا التعديل مرتبط أيضًا بمعالجة ثغرة CVE-2025-59214، وهي ثغرة “خداع File Explorer” يمكن استغلالها لتسريب بيانات اعتماد عبر الشبكة. وتُعد هذه الثغرة بدورها تجاوزًا (bypass) لثغرة سابقة هي CVE-2025-50154، التي كانت هي نفسها تجاوزًا للثغرة الأصلية CVE-2025-24054 — وهي ثغرة تسريب بيانات اعتماد NTLM من نوع “zero-click” استُغلت فعليًا في البرّية في وقت سابق من هذا العام.
من خلال هذا التسلسل، تعمل مايكروسوفت على قطع سلسلة التجاوزات المتكررة التي سمحت للمهاجمين باستغلال طبقات متعددة من واجهات النظام للحصول على بيانات الاعتماد بطريقة غير مباشرة.
دلالات وتوصيات للمستخدمين والمؤسسات
-
تحقق من مصدر الملفات قبل الفتح أو المعاينة، ولا ترفع الحظر عن الملفات المجهولة المصدر.
-
حدث الأنظمة بانتظام لضمان تطبيق التصحيحات الأمنية الخاصة بالثغرات المرتبطة بتسريب NTLM.
-
عطل جزء المعاينة يدويًا في بيئات العمل عالية الحساسية إن لم تكن هناك حاجة إليه.
-
اعتمد حلول مراقبة الاعتماد (Credential Guard) وتقنيات حماية NTLM لتقليل فرص استغلال التجزئات عبر الشبكة.
-
نفّذ سياسات أمنية مركزية (Group Policy) للتحكم في سلوك “Mark of the Web” وتقييد التعامل مع الملفات القادمة من مصادر خارجية.
