تم تحديد ثغرة حرجة من نوع “يوم الصفر” في أنظمة ويندوز، تتيح للمهاجمين تصعيد الامتيازات من خلال هجوم جديد يُعرف باسم “الهجوم المرتد على كيربيروس”. وقد تم تصنيف هذه الثغرة تحت الرمز CVE-2025-33073، وقامت مايكروسوفت بمعالجتها عبر إصدار تحديث أمني في 10 يونيو 2025 كجزء من تحديثاتها الأمنية الدورية. وبدرجة CVSS تصل إلى 9.8، تُعتبر هذه الثغرة حرجة نظرًا لتعقيدها المنخفض وتأثيرها الكبير على أمان النظام.
يمثل الهجوم المرتد على كيربيروس تطورًا كبيرًا في تقنيات ترحيل المصادقة، حيث يتجاوز قيود انعكاس NTLM التي وُضعت منذ عام 2008. يتضمن الهجوم إجبار جهاز ويندوز على المصادقة مرة أخرى إلى نظام المهاجم باستخدام بيانات اعتماد حساب الكمبيوتر. يتمثل الجانب التقني الرئيسي في فصل هدف الإكراه واسم الخدمة الرئيسي باستخدام حيلة معينة، مما يسمح للمهاجمين بالتلاعب في إصدار تذاكر كيربيروس.
يتطلب الهجوم تجاوز أولوية NTLM، حيث يفضل ويندوز افتراضيًا استخدام NTLM للاتصالات الذاتية. يقوم المهاجمون بتعديل الأدوات لتعطيل NTLM، مما يجبر على استخدام مصادقة كيربيروس بدلًا منه. وأكثر ما يثير القلق هو تصعيد الامتيازات غير المتوقع، حيث يحصل المهاجمون على امتيازات “NT AUTHORITY\SYSTEM”، مما يمكنهم من تنفيذ التعليمات البرمجية عن بُعد. يحدث هذا بسبب تدابير مصادقة الارتداد المحلي في ويندوز، التي تمنح الامتيازات العالية بشكل غير مقصود.
تؤثر الثغرة على جميع إصدارات ويندوز 10، 11، وويندوز سيرفر من 2019 إلى 2025. يتطلب الاستغلال كلاً من إكراه المصادقة وترحيل SMB. في حين أن توقيع SMB يمكن أن يمنع الترحيل، إلا أنه ليس مفروضًا بشكل عالمي. يُنصح المؤسسات بتمكين توقيع SMB على جانب الخادم واتخاذ تدابير أمنية أخرى للحماية ضد مثل هذه الهجمات، مما يبرز التطور المستمر للتهديدات في الأنظمة القائمة على كيربيروس.
