كشف باحثون في الأمن السيبراني عن ثغرة غير مرقّعة في نظام ويندوز يمكن استغلالها لسرقة تجزئة NTLMv2 الخاصة بالمستخدم. الثغرة مرتبطة بمعالج search: URI، وتشبه في طبيعتها الثغرة السابقة CVE-2026-33829 التي أثرت على أداة Snipping Tool عبر معالج ms-screensketch: URI وتم إصلاحها في أبريل 2026.
وفقًا لشركة Huntress، يمكن للمهاجم خداع المستخدم للنقر على رابط مُصمم خصيصًا داخل متصفح أو رسالة بريد إلكتروني، مما يؤدي إلى اتصال الجهاز بخادم SMB يسيطر عليه المهاجم، وبالتالي تسريب تجزئة Net-NTLMv2.
خلفية تقنية: من Snipping Tool إلى Search URI
الثغرة السابقة في Snipping Tool كانت ناتجة عن قبول معالج URI لمعلمة filePath دون التحقق منها، ما سمح بالوصول إلى أي مسار UNC وإطلاق مصادقة NTLM تلقائية.
الثغرة الجديدة تستغل نفس الآلية لكن عبر معلمات search: وcrumb=location:، باستخدام أوامر .
هذا يؤدي إلى نفس تسريب تجزئة Net-NTLMv2، بنفس الشروط المسبقة والتصنيف الأمني المعتدل.
خطورة الهجوم وإمكانيات الاستغلال
وفقًا للباحث Andrew Schwartz من Huntress، فإن هذه الثغرة تتيح للمهاجمين تنفيذ هجمات relay باستخدام التجزئة المسروقة، ما يمنحهم وصولًا أعمق إلى الشبكة المستهدفة.
من الجدير بالذكر أن استخدام معلمة crumb لسرقة التجزئة تم توثيقه سابقًا في ثغرة CVE-2023-35636 من قبل شركة Varonis في فبراير 2024، ما يؤكد أن هذه التقنية ليست جديدة ولكنها تعود للواجهة عبر مكونات مختلفة من ويندوز.
موقف مايكروسوفت والإجراءات الوقائية
رغم الإفصاح المسؤول عن الثغرة في 15 أبريل 2026، رفضت مايكروسوفت إصدار إصلاح لها، موضحة أن “فقط الحالات المصنفة كـ مهمة أو حرجة تستحق المعالجة”. هذا القرار يترك المستخدمين عرضة للاستغلال.
في ظل غياب التحديثات الرسمية، ينصح الخبراء باتباع الإجراءات التالية:
- حظر الاتصالات الصادرة عبر بروتوكول SMB (TCP/445 وTCP/139) على الأجهزة غير الضرورية.
- فرض توقيع SMB لمنع استخدام التجزئات المسروقة في هجمات relay.
- تعطيل بروتوكول NTLM حيثما أمكن، والاعتماد على آليات مصادقة أكثر أمانًا مثل Kerberos.
