ثغرة أمنية في «ويندوز سيرفر» تتيح تحكماً كاملاً بشبكات المؤسسات
أصدر خبراء في قسم أمن المعلومات والجرائم الإلكترونية بوزارة الأمن الداخلي الأميركية تحذيراً طارئاً لجميع المؤسسات والشركات والوكالات التي لديها شبكات معلومات، بوجود ثغرة أمنية بالغة الخطورة في أنظمة «ويندوز سيرفر» من «شركة مايكروسوفت الأميركية»، التي تعمل كوحدات تحكم في شبكات المؤسسات.
ويمكن للقراصنة ومحترفي الجريمة الإلكترونية استغلال الثغرة في شن هجمات من نوعية «الدخول صفر»، أو «زيرو لوغ إن»، فيما وصفت الثغرة بأنها أسوأ وأخطر ثغرة برمجية يتم الإبلاغ عنها لـ«مايكروسوفت» على الإطلاق، التي سارعت بدورها ببناء تصحيح أمني لهذه الثغرة، وطرحه للاستخدام الأسبوع الماضي. وطالب الخبراء في تحذيرهم جميع المؤسسات والشركات بالمسارعة إلى تثبيت هذا التحديث على الفور.
وقد ظهر هذا التحذير على صفحة القسم الخاص بالجرائم الإلكترونية بموقع الوزارة الأميركية cyber.dhs.gov/ed، تحت عنوان «توجيه الطوارئ 20 – 04»، بغرض حماية أنظمة المعلومات من تهديد أمن المعلومات أو التخفيف من حدته. وأمهل التحذير جميع الوكالات والمؤسسات الأميركية الفيدرالية أربعة أيام فقط لتثبيت وتنشيط التحديث الأمني لهذه الثغرة، لكونها تمثل «خطراً غير مقبول».
تفاصيل مثيرة
وفي تطور موازٍ لصدور التحذير، نشرت شبكة «زد دي نت» zdnet.com تقريراً أضاف المزيد من التفاصيل المثيرة حول هذه الثغرة، إذ تبين أن أحد خبراء شركة «سيكورا» الهولندية المتخصصة في أمن المعلومات نشر تدوينة على المدونة الرسمية للشركة، أوضح فيها أن «مايكروسوفت» أبلغت بوجود هذه الثغرة منذ فترة، ووضعت تصحيحاً أمنياً لها، صدر فعلياً في التحديث الأمني الذي تصدره دورياً يوم الثاني من كل شهر، وحدث ذلك في تحديث الثلاثاء لشهر أغسطس 2020، من دون أن تشير إلى وجود هذه الثغرة، ما يعني أن المستخدمين ومسؤولي تكنولوجيا المعلومات لم يعرفوا أبداً مدى خطورة المشكلة.
وقال خبير «سيكورا» في تدوينته إن الثغرة مصنفة على أنها من الدرجة 10 على مقياس الخطورة، وهي أعلى درجة خطورة في مجال الثغرات البرمجية، ولذلك تعد واحدة من أخطر الأخطاء التي تم الإبلاغ عنها لـ«مايكروسوفت» على الإطلاق، وتم تعريفها في التحديث الأمني تحت اسم «سي في أي ـ 2020 ـ 1472»، وبأنها قائمة في بروتوكول الدخول للشبكات عن بعد، المعروف في عالم الشبكات ببروتوكول «إن آر بي سي»، كما يتم من خلالها شن هجمات «الدخول صفر»، أو «زيرو لوغ إن»، التي تحمل هذا الاسم لأن المهاجمين الذين يستغلونها يضيفون أصفاراً إلى أكواد «المصادقة»، من أجل السيطرة على «الدليل النشط» لشبكات المعلومات، وبالتالي وحدة التحكم في الشبكة.
خطورة الثغرة
وفقاً لخبراء «سيكورا»، فإن الثغرة تعود إلى ضعف في خوارزمية التشفير المستخدمة في عملية المصادقة عند الدخول إلى شبكات المعلومات. ويسمح هذا الضعف للمهاجمين بالتلاعب في إجراءات المصادقة، والتحقق من الهوية عند الدخول إلى الشبكات، كما تتيح للمهاجم شن الهجوم بسرعة فائقة للغاية، قد لا تتعدى ثلاث ثوان فقط في كثير من الأحيان، لتصبح بعدها الشبكة ودليلها النشط ووحدة التحكم بها تحت السيطرة، في حال نجاح الهجمة.
وخلال الهجوم، تسمح الثغرة للقراصنة بالقيام بانتحال هوية أي كمبيوتر على الشبكة عند محاولة المصادقة والتحقق من الهوية، ثم خداع «وحدة تحكم المجال» التي تتضمن قاعدة بيانات جميع أجهزة الكمبيوتر المتصلة بالشبكة وكلمات المرور الخاصة بها، كما تسمح بتعطيل خواص الأمان في عملية مصادقة الدخول على الشبكة، فضلاً عن تغيير كلمة مرور الكمبيوتر على الدليل النشط، من خلال التلاعب بوحدة تحكم المجال، وخداع وحدة التحكم، عبر التظاهر بأن المهاجم هو نفسه وحدة تحكم، وبالتالي يستطيع تغيير كلمة المرور، ما يسمح للمتسلل بالسيطرة على شبكة الشركة بالكامل.
هجمات معقدة جداً
أكد خبراء أن هجمات «الدخول صفر» معقدة جداً، ولا يمكن للمبتدئين والهواة من المهاجمين تنفيذها، بل إن هناك قيوداً على نجاحها، حتى في حال معرفة المهاجم بهذه الثغرة، لأن المهاجم يحتاج أولاً إلى موطئ قدم داخل الشبكة، سواء عبر أحد العاملين، أو توصيل جهاز المهاجم بمنفذ من منافذ الشبكة الداخلية. وحالما يحصل على موطئ القدم، يمكنه تنفيذ الهجمة بسرعة فائقة، قد تستغرق ثلاث ثوانٍ لتصبح الشبكة كاملة تحت سيطرته.
وأكد فريق «سيكورا» الهولندي أن عملية التصحيح لم تكن سهلة بالنسبة لـ«مايكروسوفت»، حيث كان عليها تعديل كيفية اتصال مليارات الأجهزة بشبكات المعلومات، وهو أمر سيؤثر في أعمال عدد لا يحصى من الشركات، ولذلك تمت جدولة التصليح على مرحلتين، الأولى التصليح المؤقت الذي تم في أغسطس، والثانية يتوقع أن تكتمل كلياً في فبراير 2021.