ابو نورة
./عضو جديد
بسم الله الرحمن الرحيم
الحمد لله الذي علم الإنسان ما لم يعلم، وأمرنا بأخذ الحيطة والحذر في كل أمور حياتنا، فقال سبحانه: ﴿يَا أَيُّهَا الَّذِينَ آمَنُوا خُذُوا حِذْرَكُمْ﴾ [النساء: 71]. ومن أعظم مجالات الحذر في هذا العصر الحذر في المجال الإلكتروني، حيث أصبحت المعلومات والأمن الرقمي من أهم الأمور التي يجب علينا الانتباه لها وحمايتها من أي تهديد.
يا جماعة، هذا الموضوع خطير جدًا ويجب أن ننتبه له جميعًا، لأنه يتعلق بثغرة أمنية قد تُمكّن أي شخص من السيطرة على شبكتك بالكامل، حتى لو كنت تعتقد أنك قمت بتأمينها جيدًا.
ما هي هذه الثغرة؟
هذه الثغرة تعتمد على استغلال ميزة في Active Directory تُعرف باسم MachineAccountQuota (MAQ)، وهي قيمة تحدد عدد الأجهزة التي يمكن لأي مستخدم إضافتها إلى الدومين دون الحاجة إلى صلاحيات إدارية. القيمة الافتراضية لهذه الميزة تكون 10 في معظم الشبكات، لكن المشكلة ليست في الرقم نفسه، بل في الطريقة التي يمكن استغلاله بها لاختراق الشبكة.
تحذير هام:
هذه المعلومات تُنشر لأغراض التوعية الأمنية فقط، وأي استخدام غير قانوني لها يُعد جريمة يُعاقب عليها القانون.
السيناريو الأول: عندما يكون MAQ مفتوحًا
إذا تمكن مهاجمٌ من إضافة أجهزة جديدة إلى الدومين أو اخترق جهازًا داخل الشبكة، يمكنه استغلال ثغرة في SCCM (System Center Configuration Manager)، وهو النظام المسؤول عن توزيع البرامج والتحديثات على أجهزة الشبكة.
في هذه الحالة، قد يستخدم المهاجم أداة تُسمى sccmhunter، والتي تعمل بالشكل التالي:
python sccmhunter.py http auto -u pentest -p lolkekcheb123 -d abc.ru -dc-ip 192.168.0.1
شرح هذا الأمر:
auto → تجعل الأداة تُنشئ حساب جهاز جديد تلقائيًا.
-u pentest → اسم المستخدم الذي يستخدمه المهاجم.
-p lolkekcheb123 → كلمة المرور الخاصة بالمهاجم.
-d abc.ru → اسم الدومين.
-dc-ip 192.168.0.1 → عنوان الـ Domain Controller.
بمجرد تنفيذ هذا الأمر، سيتمكن المهاجم من الوصول إلى حساب يُعرف باسم NAA (Network Access Account)، وهو الحساب الذي يستخدمه SCCM لتمكين الأجهزة من تحميل الملفات من نقاط التوزيع (Distribution Points) داخل الشبكة.
السيناريو الثاني: عندما يكون MAQ مقفولًا
إذا كانت الشبكة مؤمنة والـ MAQ مقفول، كيف يمكن للمهاجم تنفيذ اختراقه؟
في هذه الحالة، يمكنه استخدام تقنية تُسمى NTLM Relay، والتي تُمكّنه من إعادة توجيه بيانات اعتماد المستخدم من جهاز إلى آخر دون الحاجة إلى معرفة كلمة المرور. لهذا، يمكنه استخدام أداة تُسمى ntlmrelayx.py، كالتالي:
python3 ntlmrelayx.py -t http://sccm.sccmlab.local -ccm_system_windowsauth request -sccm sccm -sccm-device test12345 -sccm-fqdn sccm.sccmlab.local -sccm-sleep 10 --smb2support
ماذا يفعل هذا الأمر؟
-t → يُحدد الخادم المستهدف، وهو في هذه الحالة خادم SCCM.
-sccm → تستهدف الأداة نظام SCCM.
-sccm-device test12345 → اسم عشوائي للجهاز الذي سيظهر في لوحة إدارة SCCM.
-sccm-fqdn sccm.sccmlab.local → اسم الخادم بالكامل.
-sccm-sleep 10 → فترة انتظار قبل تنفيذ الهجوم.
--smb2support → دعم بروتوكول SMB2.
بمجرد تشغيل هذا الهجوم، سيتمكن المهاجم من اعتراض بيانات الاعتماد الخاصة بأي جهاز يتصل بخادم SCCM، مما يتيح له استخراج بيانات حساب NAA واستغلالها في اختراق الشبكة.
كيفية الحماية من هذا الهجوم؟
✔ قم بمراقبة قيمة MAQ بشكل دوري، وتأكد من أنها ليست مفتوحة أو ذات قيمة عالية بشكل غير طبيعي.
✔ استخدم كلمات مرور قوية لحسابات NAA، وغيّرها بانتظام.
✔ قم بتفعيل المصادقة الثنائية (2FA) لحسابات NAA متى أمكن ذلك.
✔ احرص على تحديث أنظمة التشغيل والبرامج بشكل دوري لسد الثغرات الأمنية المحتملة.
✔ استخدم برامج حماية قوية لرصد أي أنشطة مشبوهة داخل الشبكة.
✔ قم بإجراء اختبارات اختراق دورية للتأكد من عدم وجود أي نقاط ضعف قد يستغلها المهاجمون.
قال رسول الله ﷺ: "المؤمن كَيِّس فَطِن"، فمن الواجب علينا أن نكون على دراية بمثل هذه الثغرات الأمنية، وألّا نتهاون في حماية بياناتنا وأنظمتنا.
نسأل الله أن يحفظنا جميعًا من كل شر، وأن يوفقنا لما فيه الخير والأمان في دنيانا وآخرتنا.
الحمد لله الذي علم الإنسان ما لم يعلم، وأمرنا بأخذ الحيطة والحذر في كل أمور حياتنا، فقال سبحانه: ﴿يَا أَيُّهَا الَّذِينَ آمَنُوا خُذُوا حِذْرَكُمْ﴾ [النساء: 71]. ومن أعظم مجالات الحذر في هذا العصر الحذر في المجال الإلكتروني، حيث أصبحت المعلومات والأمن الرقمي من أهم الأمور التي يجب علينا الانتباه لها وحمايتها من أي تهديد.
يا جماعة، هذا الموضوع خطير جدًا ويجب أن ننتبه له جميعًا، لأنه يتعلق بثغرة أمنية قد تُمكّن أي شخص من السيطرة على شبكتك بالكامل، حتى لو كنت تعتقد أنك قمت بتأمينها جيدًا.
ما هي هذه الثغرة؟
هذه الثغرة تعتمد على استغلال ميزة في Active Directory تُعرف باسم MachineAccountQuota (MAQ)، وهي قيمة تحدد عدد الأجهزة التي يمكن لأي مستخدم إضافتها إلى الدومين دون الحاجة إلى صلاحيات إدارية. القيمة الافتراضية لهذه الميزة تكون 10 في معظم الشبكات، لكن المشكلة ليست في الرقم نفسه، بل في الطريقة التي يمكن استغلاله بها لاختراق الشبكة.
تحذير هام: هذه المعلومات تُنشر لأغراض التوعية الأمنية فقط، وأي استخدام غير قانوني لها يُعد جريمة يُعاقب عليها القانون.
السيناريو الأول: عندما يكون MAQ مفتوحًا
إذا تمكن مهاجمٌ من إضافة أجهزة جديدة إلى الدومين أو اخترق جهازًا داخل الشبكة، يمكنه استغلال ثغرة في SCCM (System Center Configuration Manager)، وهو النظام المسؤول عن توزيع البرامج والتحديثات على أجهزة الشبكة.
في هذه الحالة، قد يستخدم المهاجم أداة تُسمى sccmhunter، والتي تعمل بالشكل التالي:
python sccmhunter.py http auto -u pentest -p lolkekcheb123 -d abc.ru -dc-ip 192.168.0.1
شرح هذا الأمر:
auto → تجعل الأداة تُنشئ حساب جهاز جديد تلقائيًا.
-u pentest → اسم المستخدم الذي يستخدمه المهاجم.
-p lolkekcheb123 → كلمة المرور الخاصة بالمهاجم.
-d abc.ru → اسم الدومين.
-dc-ip 192.168.0.1 → عنوان الـ Domain Controller.
بمجرد تنفيذ هذا الأمر، سيتمكن المهاجم من الوصول إلى حساب يُعرف باسم NAA (Network Access Account)، وهو الحساب الذي يستخدمه SCCM لتمكين الأجهزة من تحميل الملفات من نقاط التوزيع (Distribution Points) داخل الشبكة.
السيناريو الثاني: عندما يكون MAQ مقفولًا
إذا كانت الشبكة مؤمنة والـ MAQ مقفول، كيف يمكن للمهاجم تنفيذ اختراقه؟
في هذه الحالة، يمكنه استخدام تقنية تُسمى NTLM Relay، والتي تُمكّنه من إعادة توجيه بيانات اعتماد المستخدم من جهاز إلى آخر دون الحاجة إلى معرفة كلمة المرور. لهذا، يمكنه استخدام أداة تُسمى ntlmrelayx.py، كالتالي:
python3 ntlmrelayx.py -t http://sccm.sccmlab.local -ccm_system_windowsauth request -sccm sccm -sccm-device test12345 -sccm-fqdn sccm.sccmlab.local -sccm-sleep 10 --smb2support
ماذا يفعل هذا الأمر؟
-t → يُحدد الخادم المستهدف، وهو في هذه الحالة خادم SCCM.
-sccm → تستهدف الأداة نظام SCCM.
-sccm-device test12345 → اسم عشوائي للجهاز الذي سيظهر في لوحة إدارة SCCM.
-sccm-fqdn sccm.sccmlab.local → اسم الخادم بالكامل.
-sccm-sleep 10 → فترة انتظار قبل تنفيذ الهجوم.
--smb2support → دعم بروتوكول SMB2.
بمجرد تشغيل هذا الهجوم، سيتمكن المهاجم من اعتراض بيانات الاعتماد الخاصة بأي جهاز يتصل بخادم SCCM، مما يتيح له استخراج بيانات حساب NAA واستغلالها في اختراق الشبكة.
كيفية الحماية من هذا الهجوم؟
✔ قم بمراقبة قيمة MAQ بشكل دوري، وتأكد من أنها ليست مفتوحة أو ذات قيمة عالية بشكل غير طبيعي.
✔ استخدم كلمات مرور قوية لحسابات NAA، وغيّرها بانتظام.
✔ قم بتفعيل المصادقة الثنائية (2FA) لحسابات NAA متى أمكن ذلك.
✔ احرص على تحديث أنظمة التشغيل والبرامج بشكل دوري لسد الثغرات الأمنية المحتملة.
✔ استخدم برامج حماية قوية لرصد أي أنشطة مشبوهة داخل الشبكة.
✔ قم بإجراء اختبارات اختراق دورية للتأكد من عدم وجود أي نقاط ضعف قد يستغلها المهاجمون.
قال رسول الله ﷺ: "المؤمن كَيِّس فَطِن"، فمن الواجب علينا أن نكون على دراية بمثل هذه الثغرات الأمنية، وألّا نتهاون في حماية بياناتنا وأنظمتنا.
نسأل الله أن يحفظنا جميعًا من كل شر، وأن يوفقنا لما فيه الخير والأمان في دنيانا وآخرتنا.
التعديل الأخير بواسطة المشرف:
