YellowKey وGreenPlasma: ثغرتا يوم الصفر تضربان BitLocker في Windows
كشف باحثو الأمن علنًا عن ثغرتَي يوم الصفر غير المُصلَّحتَين في Windows، المعروفتَين بـ YellowKey وGreenPlasma، واللتَين تستهدفان تشفير BitLocker وإطار إدخال CTFMON على التوالي. وقد صدر بالفعل كود استغلال إثبات المفهوم، مما يعني أن ثغرة يوم الصفر في Windows BitLocker ليست مجرد نظرية. بالنسبة للملايين من المستخدمين والمؤسسات التي تعتمد على BitLocker ركيزةً أساسية لاستراتيجية حماية بياناتها، يُعدّ هذا الكشف تحذيرًا جديًا لا يمكن تجاهله.
ما الذي تفعله YellowKey وGreenPlasma فعليًا
تُعدّ YellowKey الأكثر إثارةً للقلق الفوري من الاثنتَين. فهي تستهدف BitLocker، ميزة التشفير الكامل للقرص المدمجة في Windows 10 و11 وكذلك Windows Server 2022 و2025. ومن خلال استغلال ثغرة في بيئة استرداد Windows، تتيح هذه الثغرة لمهاجم يملك وصولًا ماديًا إلى جهاز ما تجاوز الحماية الافتراضية لـ BitLocker والوصول إلى محتويات محرك الأقراص المشفّر. من الناحية العملية، يمكن لجهاز محمول مسروق كان يُعدّ آمنًا خلف تشفير BitLocker أن تُقرأ بياناته دون الحاجة إلى رقم التعريف الشخصي أو كلمة المرور الصحيحة.
أما GreenPlasma فتستهدف CTFMON، وهي عملية خلفية في Windows تُدير إدخال النصوص والتعرف على الخط اليدوي وإعدادات اللغة. تُمكّن هذه الثغرة من تصعيد الامتيازات المحلية، أي أن مهاجمًا تمكّن بالفعل من الوصول إلى نظام ما يستطيع رفع صلاحياته إلى مستوى أعلى، ربما يصل إلى صلاحيات المسؤول أو مستوى SYSTEM. تُمثّل الثغرتان معًا مزيجًا خطيرًا: إحداهما تكسر الجدار الحامي لبياناتك في حالة الثبات، بينما تُتيح الأخرى اختراقًا أعمق للنظام بمجرد أن يكون المهاجم في داخله.
في وقت كتابة هذا المقال، لم تُصدر Microsoft بعد تصحيحات لأيٍّ من الثغرتَين. وكود إثبات المفهوم متاح للعموم، مما يُخفّض بشكل ملحوظ الحاجز أمام استغلاله من قِبَل جهات تهديد أقل تطورًا.
من هو في خطر وما البيانات المعرّضة للخطر
كل من يُشغّل نظام Windows 11 أو Windows Server 2022 و2025 مع تفعيل BitLocker يحتمل أن يكون متأثرًا بـ YellowKey. صحيح أن اشتراط الوصول المادي يُقيّد سطح الهجوم مقارنةً بثغرة استغلال عن بُعد بالكامل، غير أن هذا القيد لا ينبغي أن يوفر كثيرًا من الطمأنينة. فأجهزة الكمبيوتر المحمولة التي يستخدمها الموظفون في بيئات العمل الهجينة، والأجهزة المُخزَّنة في المساحات المكتبية المشتركة، والأجهزة المُصادَرة أو المُفتَّشة عند المعابر الحدودية، كلها سيناريوهات تهديد واقعية.
بالنسبة لـ GreenPlasma، فإن ملف المخاطر أوسع نطاقًا من بعض الجوانب. كثيرًا ما تُقرَن ثغرات تصعيد الامتيازات المحلية بتقنيات هجومية أخرى. فبريد إلكتروني تصيّدي يُسلّم حمولةً أولية منخفضة الامتيازات، على سبيل المثال، قد يعقبه استغلال GreenPlasma للحصول على سيطرة كاملة على النظام. البيئات المؤسسية والوكالات الحكومية والأفراد الذين يتعاملون مع ملفات حساسة جميعهم في مرمى الاستهداف.
تتراوح البيانات المعرّضة للخطر بين المستندات الشخصية والسجلات المالية وصولًا إلى الملكية الفكرية للشركات وبيانات الاعتماد المُخزَّنة على القرص. المؤسسات العاملة في إطار أُطر الامتثال كـ HIPAA وGDPR وCMMC ستحتاج إلى تقييم ما إذا كانت هذه الثغرات تؤثر في التزاماتها التنظيمية.
لماذا لا يستطيع مستخدمو BitLocker الاعتماد على تشفير القرص وحده
يُوضّح الكشف عن YellowKey قيدًا جوهريًا كثيرًا ما يغفله المستخدمون المهتمون بالخصوصية: التشفير يحمي البيانات فقط طالما بقيت آلية التشفير ذاتها سليمة وغير مخترقة. صُمّم BitLocker للحماية من الهجمات غير المتصلة بالشبكة، أي في المقام الأول السيناريوهات التي يُزال فيها محرك الأقراص ويُقرأ على جهاز آخر. ولم يُصمَّم ليكون حصنًا منيعًا في مواجهة مهاجم متمرس مسلّح بثغرة يوم الصفر تستهدف العملية ذاتها المسؤولة عن إلغاء قفل محرك الأقراص.
هذا هو جوهر الحجة لصالح الدفاع المتعمق. الاعتماد على عنصر تحكم أمني واحد، بغض النظر عن مدى الثقة به، يخلق نقطة فشل واحدة. ومتى تجاوز المهاجم هذا العنصر، لا يبقى شيء يقف بينه وبين بياناتك. تنطبق المنطق ذاته على تهديدات طبقة الشبكة: تشفير حركة المرور أثناء النقل عبر VPN لن يحميك إذا كانت نقطة نهايتك قد تعرّضت للاختراق بالفعل، كما أن تأمين نقطة النهاية لا يحمي البيانات المتدفقة بدون تشفير عبر شبكة غير موثوقة.
كما يُذكّرنا ظهور هاتَين الثغرتَين بأن جهات التهديد لا تحتاج دائمًا إلى بنية تحتية متطورة لإلحاق أضرار جسيمة. كما وُثّق في حملات مثل المواقع الحكومية المزيفة التي تستهدف المواطنين حول العالم، كثيرًا ما تُجمَع الهندسة الاجتماعية والأدوات الجاهزة مع عمليات الاستغلال المتاحة للعموم بأثر مدمّر. إن كود إثبات المفهوم العلني لتجاوز BitLocker يُخفّض الحاجز المهاري بشكل ملحوظ.
خطوات الدفاع المتعمق: التصحيح والـ VPN والأمان المتعدد الطبقات
إلى حين إصدار Microsoft تصحيحات رسمية، ينبغي للمستخدمين والمسؤولين اتخاذ الخطوات التالية.
مراقبة تحديثات أمان Microsoft. أبقِ Windows Update مُفعَّلًا وتحقق من التصحيحات خارج النطاق الدوري، لا سيما مع توفر كود إثبات المفهوم للعموم. عند توفر التصحيحات، أعطِ اهتمامًا أولويًا لنشرها.
تفعيل BitLocker مع رقم PIN. إعداد BitLocker الافتراضي القائم على TPM فقط أكثر عرضة لهذه الفئة من الهجمات. إعداد BitLocker ليشترط رقم PIN قبل الإقلاع يُضيف طبقة احتكاك ترفع من صعوبة الهجوم على المهاجمين الماديين.
تقييد الوصول المادي. بالنسبة للأجهزة عالية القيمة، تُهمّ ضوابط الأمان المادية. غرف الخوادم المُقفَّلة، وأقفال الكابلات للأجهزة المحمولة، والسياسات الواضحة بشأن الأجهزة غير المُراقبة، كلها تُقلّص سطح الهجوم بالنسبة لـ YellowKey.
تعدد طبقات ضوابط الأمان. تشفير القرص طبقة واحدة، وليس استراتيجية متكاملة. اجمعه مع أدوات الكشف والاستجابة على نقاط النهاية، وتشفير على مستوى الشبكة للبيانات أثناء النقل، والمصادقة القوية، وتجزئة الشبكة. يكفل الـ VPN أنه حتى لو انتقل المهاجم من نقطة نهاية مخترقة، فإن البيانات الصادرة لن تنكشف كنص واضح على الشبكة.
مراجعة الحسابات ذات الامتيازات. نظرًا لخطر تصعيد الامتيازات الخاص بـ GreenPlasma، راجع الحسابات التي تمتلك حقوق مسؤول محلي على نقاط النهاية. تقليل الامتيازات غير الضرورية يُحدّ من نطاق الضرر في حال استخدام الثغرة.
ما يعنيه هذا بالنسبة لك
يُعدّ الكشف عن YellowKey وGreenPlasma تذكيرًا ملموسًا بأنه لا توجد أداة أمنية واحدة توفر حمايةً كاملة. إذا كانت استراتيجية أمان بياناتك بأكملها تعتمد على BitLocker، فقد حان الوقت لمراجعة المجموعة الأشمل. فكّر في ما يحدث إذا تجاوز أحدهم BitLocker: هل توجد طبقة أخرى تحمي ملفاتك الأكثر حساسية؟ هل يُشفَّر حركة مرور شبكتك بشكل مستقل عن قرصك؟ هل تُخزَّن بيانات اعتمادك ومفاتيح الاسترداد الخاصة بك بأمان؟
الخطوات الاستباقية تُحدث فارقًا أكبر قبل وقوع الحادثة لا بعدها. راجع ضوابط الأمان الحالية، وطبّق التخفيفات المتاحة، وتعامل مع هذه الإفصاحات باعتبارها فرصة لتعزيز الطبقات التي لا يستطيع BitLocker وحده تغطيتها.
