أكيد سمعتوا الأسبوع الماضي عن ثغرة Netlogon من مايكروسوفت (CVE-2026-41089)
بشرح في هالتغريدة الخدمة المصابة، وش خطورة الثغرة، وليش لازم تتحدث بسرعة.
📍 وش هي Netlogon؟
ببساطة، Netlogon هي الخدمة المسؤولة عن عملية “الثقة” بين الأجهزة والـ (Domain Controller) في بيئة (Active Directory).
تخيلها مثل حارس أمن في مبنى. كل ما جا موظف، يتأكد من بطاقته، يسجل دخوله، ويتأكد إنه فعلاً من ضمن الشركة.
هذي تقريباً وظيفة Netlogon في عالم ويندوز.
شغلها الفعلي يشمل:
🔹 تأكيد هوية المستخدمين والأجهزة لما يسجلون دخول
�� إدارة حسابات الثقة للأجهزة (Machine Trust Accounts)
🔹 الحفاظ على العلاقة بين الجهاز والـ (Domain Controller)
🔹 إدارة قنوات الاتصال المؤمنة بين الأجهزة والـ (DC)
🔹 دعم علاقات الثقة بين الـ (Domain Controllers) والدومينات
لو هذي الخدمة تعطلت أو اخترقت، بتتاثر كامل بيئة (Active Directory).
📍 البروتوكول اللي يستخدمه Netlogon هو
(Microsoft Netlogon Remote Protocol) MS-NRPC
هذا البروتوكول يستخدم (RPC) للتواصل بين الأجهزة والـ (Domain Controller).
وغالباً يظهر عبر:
🔹 منفذ 135 الخاص بـ (RPC Endpoint Mapper)
🔹 أو (RPC over SMB) عبر منفذ 445 حسب البيئة
📍 الثغرة الجديدة CVE-2026-41089
مايكروسوفت أعلنت عنها يوم 12 مايو 2026 ضمن تحديثات (Patch Tuesday).
تقييمها:
(CVSS) 9.8 من 10
نوع الثغرة:
(Stack-based Buffer Overflow) في خدمة Netlogon.
يعني فيه خلل في طريقة تعامل الخدمة مع بيانات قادمة عبر الشبكة.
إذا أرسل المهاجم بيانات مصممة بطريقة معينة، ممكن يصير تجاوز في الذاكرة يؤدي إلى تنفيذ كود عن بعد.
📍 وش معنى Stack-based Buffer Overflow؟
ببساطة، البرنامج لما يستقبل بيانات من الشبكة، يحطها في مساحة محددة داخل الذاكرة اسمها (Stack).
تخيلها مثل رف صغير مخصص لكمية معينة من الملفات.
لو المهاجم أرسل بيانات أكبر من المساحة المتوقعة، البيانات الزائدة ممكن تكتب فوق أجزاء ثانية في الذاكرة.
في بعض الحالات، هذا النوع من الأخطاء يسمح بتغيير مسار تنفيذ البرنامج وتشغيل أوامر غير متوقعة.
مو كل (Buffer Overflow) سهل استغلاله، لأن الأنظمة الحديثة فيها حمايات، لكنه يظل من أخطر أنواع ثغرات الذاكرة.
📍 سبب خطورة الثغرة
ما تحتاج تسجيل دخول (Unauthenticated)
يعني المهاجم ما يحتاج يكون عنده حساب ولا كلمة مرور.
ما تحتاج تفاعل من المستخدم (No User Interaction)
ما تحتاج أحد يضغط على رابط أو يفتح مل��.
تشتغل عن بعد (Remote)
إذا المهاجم يقدر يوصل للـ (Domain Controller) عبر الشبكة، معناته يقدر يستغل الثغرة ( نظرياً حتى الان)
تعقيد الاستغلال منخفض حسب تقييم (CVSS)
📍 الأنظمة المتأثرة
كل إصدارات (Windows Server) التي تعمل ك�� (Domain Controller) ضمن الإصدارات المتأثرة:
🔹 Windows Server 2012 / 2012 R2
🔹 Windows Server 2016
🔹 Windows Server 2019
🔹 Windows Server 2022
🔹 Windows Server 2025
📍 مقارنة مع Zerologon CVE-2020-1472
كثير قارنوها بثغرة (Zerologon) الشهيرة.
الفرق التقني مهم:
🔹 Zerologon كانت ثغرة في تصميم التشفير داخل بروتوكول Netlogon
(Cryptographic flaw)
🔹 CVE-2026-41089 ثغرة في معالجة الذاكرة
(Memory Corruption)
Zerologon كانت أسهل نسبياً في الاستغلال لأنها قائمة على عيب تشفيري واضح.
أما الثغرة الحالية فتحتاج بناء (Exploit) لـ (Buffer Overflow)، وهذا أصعب تقنياً، لكنه مو مستحيل.
الاختلاف في التقنية، لكن القاسم المشترك هو:
الخطر على الـ (Domain Controller) بدون تسجيل دخول.
📍 مايكروسو��ت قالت ان احتمالية الاستغلال بأنها “أقل احتمالاً” Exploitation Less Likely ✋
لكن لا تبني قرارك الأمني على هذي العبارة وحدها اصلا من يثق في ماتقول مايكروسفت؟
حتى لو ما فيه استغلال علني حالياً، تجاهل التحديث مخاطرة غير منطقية.
خصوصاً إن الثغرات اللي تمس خدمات حسا��ة مثل Netlogon تتحول غالباً لهدف جذاب للباحثين والمهاجمين.
اتمنى ان التغريده كانت مفيده وممتعه
مساء الخير،
إن شاء الله تكونوا بأفضل حال 🌷
لدي ١٦ سياسة ناتجة عن تجارب بحثية، وأبحث عن خبراء مستقلين لتقييمها وإبداء الملاحظات عليها.
يفضل وجود خبرة في حوكمة الأمن السيبراني أو الامتثال أو إدارة السياسات.
من لديه الاهتمام والخبرة أتمنى يراسلني خاص لمزيد من التفاصيل.
اللهـم عالـم الغـيب والشـهادة فاطـر السماوات والأرض، رب كـل شـيء ومليـكه، أشهـد أن لا إلـه إلا أنت، أعـوذ بك من شـر نفسـي ومن شـر الشيـطان وشـركه، وأن أقتـرف علـى نفسـي سوءا أو أجـره إلـى مسـلم
نُعلن عن إطلاق النسخة ��لثانية Cyber Bridge 2، والتي تأتي امتدادًا لجهود تأهيل الكفاءات الوطنية في مجال الأمن السيبراني وتعزيز جاهزيتها لسوق العمل.
للتسجيل: https://t.co/a3tCMUu7ds
اكبر مشكله في مجال الامن السيبراني الان هي العمل بدافع الامتثال للانظمه وتحقيق KPI
يعطي شعور زائف بالأمان والحقيقه عكس ذلك
مثلا
في الصوره محاوله تدمير الهاردسكات عشان ماتتسرب البيانات كاجراء وقائي وامتثال للانظمه
حفر الغلاف بالدريل والهاردسيك سليم في الجهه الثانيه
اهم شي KPIو الامتثال والتقارير🤦♂️
وبعدين يزعلون اذا تعرضو للاختراق 🤷🏻♂️
مقالة من NIST تتحدث عن الأمن السيبراني المتمحور حول الإنسان (Human-Centered Cybersecurity)
ملخص المقالة:
المعهد الوطني للمعايير والتقنية (NIST) غير استراتيجيته في التعامل مع العنصر البشري؛ الهدف هو التوقف عن لوم الموظف والبدء بتصميم أنظمة تناسب قدراته وتفكيره.
تفاصيل توجه الأمن المتمحور حول الإنسان:
📍 دراسة سلوك المستخدمين عند التعامل مع روابط التصيد (Phishing) لتطوير تدريبات تحاكي الواقع بدلاً من الاختبارات الروتينية.
📍 تبسيط إدارة كلمات المرور (Password Management) لتقليل "الإجهاد السيبراني" (Cybersecurity Fatigue) الناتج عن كثرة القيود المعقدة.
📍 تصميم واجهات أجهزة إنترنت الأشياء (IoT) بحيث تك��ن إعدادات الخصوصية والأمان فيها واضحة وسهلة للمستخدم العادي.
📍 التركيز على بناء أنظمة "مرنة إنسانياً" (Human-Resilient Systems) تستمر في العمل بأمان حتى لو وقع خطأ بشري غير مقصود.
أبرز نتائج أبحاث NIST:
1. الموظف ليس "أضعف حلقة"، بل هو شريك في الدفاع إذا توفرت له أدوات سهلة الاستخدام.
2. التعقيد الزائد في السياسات الأمنية يدفع الموظفين للبحث عن "طرق بديلة" (Workarounds) تزيد من مخاطر الاختراق.
3. تصميم الأنظمة بناءً على السلوك البشري يقلل من احتمالية وقوع الحوادث السيبرانية بنسبة كبيرة.
للامانة هذا التوجه منطقي جدا خلال الوضع الحالي
واعتقد ان اكبر سبب لتجاهل هذه العوامل رغم وضوحها هو التركيز على الامتثال بغض النظر عن طريقة التنفيذ.
المصدر
https://t.co/RH6QzAA0p4