تعد معاينات مستكشف ملفات Windows عرضة لتسرب تجزئة NTLM – كيفية البقاء آمنًا

يمكن إساءة استخدام جزء المعاينة في Windows File Explorer لكشف تجزئات كلمة مرور NTLM، والتي يمكن للمهاجمين إعادة استخدامها أو محاولة اختراقها دون الاتصال بالإنترنت. قامت Microsoft بتعطيل معاينات الملفات التي تم تنزيلها في آخر تحديث لنظام Windows. اتبع الدليل أدناه للبقاء في مأمن من تسرب تجزئة NTLM من خلال معاينات File Explorer.

كيف تكون معاينات مستكشف الملفات معرضة للخطر

NT LAN Manager (NTLM) هو بروتوكول مصادقة بواسطة Microsoft لحسابات وخدمات Windows. بسبب نقاط الضعف الأمنية، تم استبداله إلى حد كبير بـ Kerberos، لكنه لا يزال متاحًا للتوافق مع الإصدارات السابقة ويمكن إساءة استخدامه في الظروف المناسبة.

يمكن استغلال معاينات File Explorer لتنفيذ طلبات NTLM التي يمكن أن تكشف عن حسابك المحلي أو كلمة مرور الانضمام إلى المجال (في التجزئة) لاستغلالها. أثناء المعاينة، يمكن أن تتم معالجة الملفات التي تحتوي على تعليمات لتنفيذ طلبات NTLM تلقائيًا بواسطة Windows لإرسال كلمة المرور المجزأة إلى خادم ضار. يمكن للجهات الفاعلة الضارة بعد ذلك إما محاولة فرض كلمة المرور في وضع عدم الاتصال أو محاولة تنفيذ هجوم تمرير التجزئة.

وفقًا لمايكروسوفت، فإن هذه الأنواع من الهجمات قيد التنفيذ حاليًا، ولهذا السبب توقف Windows في التحديث الأخير عن عرض معاينات للملفات التي تحمل علامة Mark of the Web (MoTW) (ملفات الإنترنت).

كيفية البقاء في مأمن من تسرب تجزئة NTLM من خلال معاينة مستكشف الملفات

من المهم اتخاذ الاحتياطات اللازمة عند معاينة الملفات التي تم تنزيلها من الإنترنت، حيث لا يستطيع Microsoft Defender اكتشاف طلبات NTLM فقط عن طريق فحص الملفات. فيما يلي بعض الخطوات التي يمكنك اتخاذها للبقاء في مأمن من مثل هذه الهجمات:

• التحديث إلى أحدث إصدار من Windows: في التحديث الأمني ​​بتاريخ 14 أكتوبر، قام Windows بتعطيل معاينات الملفات للملفات التي تحمل علامة MoTW. في نظام التشغيل Windows 11، انتقل إلى إعدادات → تحديث ويندوز والتأكد من تثبيت آخر التحديثات.
• قم بإجراء تحليل سلوكي للملف عبر الإنترنت: لن يكون فحص مكافحة الفيروسات فعالاً في اكتشاف طلبات NTLM الضارة. إذا كانت لديك شكوك، فيجب عليك فحص الملف باستخدام أداة تحليل السلوك التي تقوم بتشغيل الملف في وضع الحماية وتتبع السلوك. يمكن لكل من Joe Sandbox وMetaDefender فتح ملف في وضع الحماية لتتبع السلوك.
• حماية بيانات اعتماد NTLM: يمكنك اتخاذ إجراءات استباقية لتقليل نجاح تسرب NTLM. اتبع الطرق الواردة في هذا الدليل لحماية بيانات اعتماد Windows NTLM من التهديدات.
• تتبع سلوك الملف في جهاز افتراضي: يمكنك إنشاء جهاز افتراضي لاختبار سلوك الملف فيه للتأكد من أنه لا يرسل أي طلبات شبكة في المعاينة. يمكنك إما استخدام Hyper-V في نظام التشغيل Windows أو تطبيق جهاز ظاهري تابع لجهة خارجية لإنشاء جهاز ظاهري، ثم تتبع استخدام الإنترنت عند معاينة الملف.
• تعطيل معاينة مستكشف الملفات على مستوى النظام: للتخلص من احتمال تسرب تجزئة NTML عبر معاينة الملف، يمكنك فقط تعطيل معالجات المعاينة بالكامل. في مستكشف الملفات، حدد خيارات من شاهد المزيد القائمة في الأعلى. هنا انتقل إلى منظر علامة التبويب وإلغاء التحديد إظهار معالجات المعاينة في جزء المعاينة دخول.

تمكين المعاينات للملفات الموثوقة

إذا تأكدت من أن الملف الذي تم تنزيله آمن وتريد معاينته بعد آخر تحديث لنظام Windows، فسيتعين عليك إلغاء حظره أولاً قبل معاينته. وإليك الطريقة:

انقر بزر الماوس الأيمن على الملف وحدد ملكيات. تحت عام علامة التبويب، تحقق من إلغاء الحظر خانة الاختيار في حماية القسم وتأكيد التغييرات. ستتمكن من معاينة الملف بعد ذلك.

ومع ذلك، هذه الطريقة ممكنة فقط عند إلغاء حظر الملفات الفردية. إذا كان لديك الكثير من الملفات التي تريد إلغاء حظرها، فسيتعين عليك استخدام أمر PowerShell بدلاً من ذلك. تأكد من أن جميع الملفات التي تريد حظرها موجودة في نفس المجلد. في هذا المجلد، اضغط باستمرار على يحول المفتاح، وانقر بزر الماوس الأيمن في مساحة فارغة، ثم حدد افتح نافذة PowerShell هنا.

في PowerShell، قم بتشغيل الأمر التالي:

Get-ChildItem -File | Unblock-File

سيؤدي هذا إلى إلغاء حظر جميع الملفات الموجودة في المجلد، وستتمكن من معاينتها.

قد يكون عدم القدرة على معاينة الملفات بشكل افتراضي أمرًا محبطًا حقًا، ولكنه ضروري للأمان حتى يتم استبدال NTLM بالكامل في إصدارات Windows المستقبلية. يجب عليك أيضًا التأكد من استخدام كلمات مرور فريدة وقوية لتقليل تأثير تسرب تجزئة NTLM.