إفهم Windowsإفهم أمن سيبرانيإفهم الإنترنتإفهم برامج وتطبيقاتإفهم حمايةإفهم شبكات

تحليل ثغرات بروتوكول SMBv3 الحديثة (مثل SMBGhost) وكيفية حمايتك منها

تعرّف على ثغرة SMBGhost في بروتوكول SMBv3 وكيفية استغلالها، وتعلّم الخطوات العملية لتأمين نظام Windows عبر التحديثات والإعدادات الوقائية.

Ayman2025-10-20آخر تحديث: 2025-10-20
77 3 دقائق

🧱 تحليل ثغرات بروتوكول SMBv3 الحديثة (مثل SMBGhost) وكيفية حمايتك منها

🔹 المقدّمة

منذ إطلاق بروتوكول SMB (Server Message Block) وهو يُعتبر أحد الأعمدة الأساسية لتبادل الملفات والطابعات داخل أنظمة Windows، إلا أنه على مدار السنوات تحوّل أيضًا إلى باب رئيسي للهجمات الإلكترونية.

فبينما كانت الإصدارات القديمة مثل SMBv1 سببًا لهجوم WannaCry، شهدنا في السنوات الأخيرة ظهور ثغرات جديدة مثل SMBGhost في SMBv3، والتي أثبتت أن حتى الأنظمة الحديثة ليست محصّنة بالكامل.

في هذا المقال سنستعرض بإيجاز مفهوم SMBv3، ثم نحلل ثغرة SMBGhost (CVE-2020-0796) وطريقة عملها، وأخيرًا سنقدّم أفضل الممارسات لتأمين بيئة Windows ضد هذا النوع من الهجمات.

⚙️ أولًا: لمحة سريعة عن SMBv3

SMBv3 (Server Message Block version 3) هو بروتوكول محدث أطلقته مايكروسوفت مع Windows 8 وWindows Server 2012، ويهدف إلى:

  • تحسين سرعة نقل الملفات بين الأجهزة.
  • إضافة تشفير كامل للاتصالات (Encryption in Transit).
  • دعم ضغط البيانات (Compression) لتقليل استهلاك النطاق الترددي.
  • زيادة كفاءة الاتصال بالخوادم في بيئات الشركات الكبيرة.

ورغم هذه التحسينات، فإن أي خطأ في التنفيذ داخل النظام (Implementation Flaw) يمكن أن يفتح ثغرة حرجة.

⚠️ ثانيًا: ما هي ثغرة SMBGhost (CVE-2020-0796)؟

SMBGhost، المعروفة أيضًا باسم EternalDarkness، هي ثغرة تنفيذ تعليمات برمجية عن بُعد (Remote Code Execution – RCE) اكتُشفت في مارس 2020 في بروتوكول SMBv3.
الثغرة موجودة تحديدًا في آلية ضغط البيانات (Compression Feature) الخاصة بـ SMBv3.

🔍 آلية عمل الثغرة:

  1. المهاجم يُرسل حزمة SMB مُعدّة خصيصًا (Crafted Packet) إلى منفذ 445/TCP.
  2. النظام المستهدف لا يتحقق جيدًا من بعض القيم داخل الحزمة المضغوطة.
  3. يؤدي ذلك إلى تجاوز في الذاكرة (Buffer Overflow) داخل kernel، مما يمنح المهاجم إمكانية تنفيذ تعليمات برمجية على النظام.

⚠️ الخطير هنا أن الثغرة يمكن استغلالها عن بُعد وبدون مصادقة (Unauthenticated)، أي أن المهاجم لا يحتاج اسم مستخدم أو كلمة مرور.

🧩 ثالثًا: الأجهزة والأنظمة المتأثرة

الثغرة أثّرت على الإصدارات التالية:

  • Windows 10 – الإصدارات 1903 و1909
  • Windows Server 2019 وWindows Server 1903/1909

أي نظام يستخدم SMBv3 ويملك ميزة الضغط (Compression) مفعّلة، يُعتبر عرضة للخطر ما لم يُثبّت التصحيح الأمني.

🧱 رابعًا: خطوات الحماية من SMBGhost

🛡️ 1. تثبيت التحديث الأمني الرسمي

أصدرت مايكروسوفت تصحيحًا أمنيًا في مارس 2020 ضمن التحديث:

KB4551762

قم بتثبيته فورًا إن لم يكن مثبتًا بالفعل،
أو استخدم Windows Update عبر:

Settings → Update & Security → Windows Update → Check for updates

🔒 2. تعطيل ميزة ضغط SMB مؤقتًا (كإجراء وقائي)

قبل تثبيت التصحيح، يمكن تعطيل ضغط SMB عبر PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name DisableCompression -Value 1 -Type DWord

ثم أعد تشغيل النظام:

Restart-Computer

🔑 3. إغلاق المنفذ 445 مؤقتًا عبر الجدار الناري

لمنع أي اتصالات SMB خارجية حتى تطبيق التحديث:

New-NetFirewallRule -DisplayName "Block SMB Port 445" -Direction Inbound -LocalPort 445 -Protocol TCP -Action Block

🧰 4. فحص الأجهزة لمعرفة الأنظمة المعرضة

يمكنك تشغيل هذا الأمر عبر PowerShell للتحقق من تفعيل الضغط:

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" | Select DisableCompression

إذا كانت القيمة 0 → الميزة مفعّلة (معرّضة للخطر).
إذا كانت 1 → الميزة معطّلة وآمنة.

🧠 5. استخدام أدوات تحليل الثغرات (Vulnerability Scanners)

أدوات مثل:

  • Nessus
  • OpenVAS
  • Qualys
    يمكنها اكتشاف الأجهزة غير المحدّثة أو التي ما زالت تتيح الضغط عبر SMBv3.

💡 سادسًا: نصائح إضافية لحماية SMB بشكل عام

  • عطّل SMBv1 نهائيًا من جميع الأجهزة (قديمة جدًا وغير آمنة).
  • استخدم SMB Signing لتأمين سلامة الاتصالات ومنع التلاعب بالبيانات.
  • فعّل SMB Encryption في الخوادم الحرجة.
  • استخدم VPN أو عناوين IP محددة فقط للسماح باتصالات SMB عبر الشبكة الخارجية.
  • راقب السجلات عبر Event Viewer → Microsoft → Windows → SMBServer.

📋 الملخص

  • ثغرة SMBGhost (CVE-2020-0796) هي ثغرة خطيرة في SMBv3 تسمح بتنفيذ أوامر عن بُعد بدون مصادقة.
  • الحل النهائي هو تثبيت التحديث الأمني KB4551762.
  • مؤقتًا يمكن تعطيل الضغط وإغلاق المنفذ 445 لمنع الاستغلال.
  • المراقبة والتدقيق المستمران هما مفتاح الأمان ضد أي استغلال جديد في SMB.

🧭 الخاتمة

تُذكّرنا ثغرة SMBGhost أن حتى أحدث البروتوكولات ليست محصّنة من الأخطاء.

الاعتماد فقط على الإصدارات الحديثة لا يكفي، بل يجب تطبيق نهج شامل يشمل التحديث المستمر، المراقبة، وتقليل سطح الهجوم.

في بيئة Windows، الأمن لا يتحقق بتحديثٍ واحد فقط — بل بتكامل كل طبقات الحماية.

الوسوم
Ayman2025-10-20آخر تحديث: 2025-10-20
77 3 دقائق

Ayman

زر الذهاب إلى الأعلى