كشفت شركة مايكروسوفت عن ثغرة أمنية جديدة في نظام NTLM (مدير LAN لشبكات Windows NT)، تحمل الرقم CVE-2024-43451، تم استغلالها كبمرجيات خبيثة في هجمات سيبرانية تستهدف أوكرانيا، ويعتقد أن مصدر الهجمات جهة تهديد مرتبطة بروسيا.
وبحسب “thehackernews”، أصدرت مايكروسوفت تحديثًا أمنيًا لإصلاح الثغرة التي كان يمكن أن تُستغل لسرقة بيانات حساسة من المستخدمين.
أفادت مايكروسوفت بأن الثغرة قد تتفاعل عبر أي تفاعل بسيط مع ملف ضار، سواء بالنقر عليه أو فحصه.
اكتشاف واستغلال الثغرة
أكدت شركة الأمن السيبراني الإسرائيلية ClearSky أنها رصدت استغلال هذه الثغرة منذ يونيو 2024 كجزء من سلسلة هجمات تستهدف المستخدمين في أوكرانيا.
تشمل سلسلة الهجوم إرسال رسائل تصيدية من خادم حكومي أوكراني مخترق، تحتوي على رابط يوجه المستلم لتحميل أرشيف ZIP يحتوي على اختصار إنترنت (.URL) ضار، يؤدي التفاعل معه إلى تشغيل اتصال بخادم خارجي لتنزيل برمجيات ضارة مثل Spark RAT.
هجوم Pass-the-Hash واستغلال بروتوكول SMB
أثناء تنفيذ الهجوم في بيئة تجريبية، تم الكشف عن محاولة لنقل تجزئة NTLM عبر بروتوكول SMB.
وبمجرد الحصول على هذه التجزئة، يمكن للمهاجم تنفيذ هجوم Pass-the-Hash، ما يتيح له انتحال هوية المستخدم المرتبط بهذه التجزئة بدون الحاجة إلى كلمة المرور.
الجهة المشتبه بها
اكتشف فريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا ، أن الهجوم من جهة روسية يطلق عليها UAC-0194، مما يسلط الضوء على التهديدات المستمرة التي تواجهها أوكرانيا.
يثير هذا الهجوم أهمية تعزيز حماية الشبكات وإدارة التصحيحات الأمنية بشكل استباقي، خاصةً في ظل الاستغلال المتزايد للثغرات الجديدة.
يوصى بتحديث الأنظمة بشكل مستمر والتعامل بحذر مع الرسائل الواردة من مصادر غير معروفة.
