مايو 14, 2026

ثغرتا YellowKey وGreenPlasma: باحث ساخط يكسر تشفير BitLocker ويصعّد الصلاحيات إلى SYSTEM

باحث أمني ساخط ينشر أكواد استغلال لثغرتي يوم صفر في Windows: الأولى تكسر تشفير BitLocker والثانية تمنح صلاحيات SYSTEM عبر CTFMON. المؤسسات المالية السعودية في دائرة الخطر.

FyntraLink Team

في خطوة غير مسبوقة، نشر باحث أمني يُعرف بالاسم المستعار Chaotic Eclipse — بعد ساعات فقط من إصدار Microsoft لتحديثات Patch Tuesday في مايو 2026 — أكواد استغلال كاملة لثغرتي يوم صفر تستهدفان مكونات جوهرية في نظام Windows: تشفير BitLocker وعملية CTFMON التي تعمل بصلاحيات SYSTEM على كل جلسة تفاعلية.

ثغرة YellowKey: كسر تشفير BitLocker بوحدة USB واحدة

الثغرة الأولى المسمّاة YellowKey تستهدف بيئة استرداد Windows (WinRE) وتسمح لمهاجم يملك وصولاً فيزيائياً للجهاز بتجاوز تشفير BitLocker بالكامل خلال دقائق. لا يحتاج المهاجم سوى وحدة USB خبيثة أو القدرة على التلاعب بقسم EFI على القرص المستهدف. الأنظمة المتأثرة تشمل Windows 11 وWindows Server 2022 وWindows Server 2025، بينما أكد الباحث أن Windows 10 غير معرّض لهذه الثغرة تحديداً.

خطورة هذه الثغرة تتجاوز السيناريو التقليدي للوصول الفيزيائي. في بيئات المؤسسات المالية، تُنقل الأجهزة المحمولة بين الفروع، وتُرسل للصيانة، وتُخزّن في مستودعات قد لا تكون محكمة الرقابة. كسر BitLocker يعني كشف قواعد بيانات العملاء، ومفاتيح التشفير المخزنة محلياً، وملفات التكوين التي تحتوي بيانات اعتماد الأنظمة الداخلية.

ثغرة GreenPlasma: من مستخدم عادي إلى SYSTEM عبر CTFMON

الثغرة الثانية المسمّاة GreenPlasma تستغل عملية ctfmon.exe المسؤولة عن ميزات إدخال النص في Windows. هذه العملية تعمل بصلاحيات SYSTEM في كل جلسة تفاعلية، مما يجعلها هدفاً مثالياً لتصعيد الصلاحيات. يستطيع مهاجم بصلاحيات محدودة إنشاء كائنات ذاكرة مشتركة (memory-section objects) داخل مسارات دليل مقيّدة عادةً على حساب SYSTEM، ثم التلاعب بخدمات Windows الموثوقة وبرامج تشغيل وضع النواة (kernel-mode drivers) لتنفيذ أوامر غير مصرّح بها.

ما يزيد من خطورة GreenPlasma أن استغلالها لا يتطلب وصولاً فيزيائياً — يكفي أن يحصل المهاجم على موطئ قدم أولي عبر رسالة تصيّد أو ثغرة في تطبيق ويب، ثم يستخدم GreenPlasma للسيطرة الكاملة على الخادم. سلسلة الهجوم هذه (initial access → privilege escalation) هي النمط الأكثر شيوعاً في هجمات الفدية التي تستهدف المؤسسات المالية.

الدافع: باحث أمني يتحدى Microsoft علناً

الباحث الذي يستخدم أيضاً الاسم المستعار Nightmare-Eclipse صرّح بأن Microsoft "تركته بلا مأوى ولا شيء"، وأن هذه الموجة هي الثالثة من ثغرات يوم صفر التي ينشرها انتقاماً مما يصفه بتجاهل الشركة لتقاريره الأمنية. توقيت النشر — بعد ساعات من Patch Tuesday — مقصود لضمان أقصى فترة تعرّض قبل أن تتمكن Microsoft من إصدار تصحيح خارج الدورة المعتادة. أكواد الاستغلال الكاملة (PoC) متاحة على GitHub، مما يعني أن أي مهاجم بمهارات متوسطة يستطيع استغلالها فوراً.

التأثير على المؤسسات المالية السعودية

تفرض متطلبات SAMA CSCC في النطاق 3 (Cybersecurity Technology) ضوابط صريحة حول تشفير البيانات على الأجهزة الطرفية وإدارة الصلاحيات المميزة. ثغرة YellowKey تقوّض مباشرة ضوابط تشفير الأقراص التي تعتمدها البنوك وشركات التأمين والمؤسسات المالية السعودية لحماية بيانات العملاء على أجهزة الموظفين المحمولة. أما GreenPlasma فتهدد ضوابط إدارة الهوية والوصول (IAM) بالسماح لأي حساب مخترق بالتصعيد إلى صلاحيات مدير النظام.

كذلك، يُلزم إطار NCA ECC المؤسسات بتطبيق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) وفصل الصلاحيات المميزة. وجود ثغرة تصعيد صلاحيات بكود استغلال علني يعني أن هذا المبدأ أصبح مهدداً على مستوى نظام التشغيل نفسه، وليس فقط على مستوى التطبيقات. المؤسسات التي تعتمد على Windows Server 2022 أو 2025 في بنيتها التحتية — وهي الغالبية — معرّضة مباشرة.

التوصيات والخطوات العملية

تدقيق إعدادات BitLocker فوراً: تأكد من تفعيل TPM 2.0 مع PIN أو مفتاح بدء تشغيل إضافي (Startup Key) بدلاً من الاعتماد على TPM وحده. عطّل خيار الاسترداد التلقائي عبر WinRE حيثما أمكن، وافصل مفاتيح الاسترداد عن الأجهزة المحلية بتخزينها في Active Directory أو Azure AD حصرياً.
تقييد الوصول الفيزيائي وتطبيق رقابة سلسلة الحفظ: فعّل Secure Boot مع سياسة UEFI مقفلة، وطبّق سياسة صارمة لتتبّع الأجهزة المحمولة خلال النقل والصيانة، خاصة أجهزة مسؤولي الأنظمة المالية الحساسة.
مراقبة عملية CTFMON وسلوك تصعيد الصلاحيات: أضف قواعد اكتشاف في حل EDR تراقب إنشاء كائنات ذاكرة مشتركة غير اعتيادية من عمليات بصلاحيات منخفضة، وأي محاولة لحقن كود في ctfmon.exe أو العمليات التابعة لها.
تطبيق سياسة Application Whitelisting: استخدم Windows Defender Application Control (WDAC) أو AppLocker لمنع تنفيذ أكواد غير موقّعة على الخوادم الحرجة، مما يحدّ من قدرة المهاجم على استغلال GreenPlasma حتى بعد الحصول على وصول أولي.
ترقّب التصحيح الطارئ من Microsoft: نظراً لتوفر أكواد الاستغلال علنياً، من المرجح أن تصدر Microsoft تحديثاً خارج الدورة المعتادة. جهّز بيئة الاختبار واعتمد نافذة تطبيق لا تتجاوز 24 ساعة من صدور التصحيح.

الخلاصة

تكشف ثغرتا YellowKey وGreenPlasma عن واقع مقلق: حتى أقوى آليات الحماية المدمجة في Windows — تشفير BitLocker وعزل الصلاحيات — يمكن أن تنهار أمام ثغرات يوم صفر متاحة للجميع. المؤسسات المالية السعودية التي تعتمد على هذه المكونات كخط دفاع أساسي تحتاج إلى مراجعة فورية لاستراتيجية الحماية المتعددة الطبقات، وعدم الاعتماد على مكوّن واحد مهما بدت موثوقيته.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة ضوابط تشفير الأجهزة الطرفية وإدارة الصلاحيات المميزة.