ظهرت ثغرة أمنية خطيرة تُعرف باسم “هجوم ترحيل كيربيروس الانعكاسي”، مما أثار قلقًا كبيرًا في بيئة أمان نظام ويندوز. وقد تم تحديد هذه الثغرة تحت الرمز CVE-2025-33073، واكتشفتها شركة RedTeam Pentesting، حيث قامت مايكروسوفت بمعالجتها وتوفير تصحيح لها في 10 يونيو 2025. تُمكن هذه الثغرة المستخدمين ذوي الصلاحيات المنخفضة في Active Directory من تصعيد وصولهم إلى مستوى NT AUTHORITY\SYSTEM على الأجهزة المنضمة إلى النطاق والتي لا تفرض توقيع SMB.
يعتمد الهجوم على طرق متقدمة، تبدأ بإجبار المصادقة. يستخدم المهاجمون أدوات مثل wspcoerce أو NetExec لإجبار جهاز ويندوز على الاتصال بخادم SMB خبيث يتحكمون به، وذلك باستخدام واجهات برمجة التطبيقات RPC لتحفيز اتصال SMB صادر. من خلال التلاعب في حل اسم الخدمة الرئيسي (SPN)، يمكن للمهاجمين ضمان إصدار تذاكر كيربيروس لجهاز الضحية بدلاً من أجهزتهم الخاصة.
يتم بعد ذلك التقاط تذكرة خدمة كيربيروس وإعادتها إلى الجهاز الأصلي، مما يسمح للمهاجم بالمصادقة كحساب الكمبيوتر والحصول على وصول بمستوى SYSTEM. يتيح هذا الوصول غير المصرح به تنفيذ أوامر عشوائية.
تستغل الثغرة فجوة في حماية كيربيروس، مستهدفة تحديدًا تعامل ويندوز مع مصادقة الارتداد وحل SPN. تتجاوز الهجوم التقليدي لترحيل NTLM وتستفيد من خلل في إعادة استخدام الرموز لتحقيق تصعيد الامتيازات.
يمثل الخطر تهديدًا كبيرًا، حيث يمكن لأي مستخدم في النطاق الحصول على امتيازات SYSTEM على الأجهزة التي لم يتم تصحيحها. تؤثر هذه الثغرة على جميع إصدارات ويندوز 10 و11 والخوادم المدعومة حتى إصدار 2025 24H2، باستثناء وحدات التحكم في النطاق حيث يتم فرض توقيع SMB افتراضيًا.
وللتخفيف من هذا التهديد، ينبغي على المؤسسات تطبيق تحديثات الأمان الخاصة بشهر يونيو 2025 من مايكروسوفت فورًا، وفرض توقيع SMB على جميع أجهزة ويندوز، ومراقبة نشاط SMB غير المعتاد، ومراجعة DNS الخاص بـ Active Directory للبحث عن إدخالات مشبوهة. يُبرز هجوم ترحيل كيربيروس الانعكاسي الحاجة إلى تدابير أمنية قوية واتخاذ إجراءات سريعة للحماية من التهديدات المتطورة.
