ثغرات Windows BlueHammer و RedSun شرح

x32x01 · الجمعة في 20:46

في الأيام اللي فاتت ظهر موضوع مهم جدًا في عالم الأمن السيبراني على نظام Windows، واللي لفت الانتباه إن الموضوع مش ثغرة واحدة… لكن اتنين خطيرين باسم:

BlueHammer
RedSun

والاتنين مبنيين على فكرة واحدة تقريبًا: استغلال لحظة صغيرة جدًا بين الفحص والتنفيذ.

Windows Defender بيشتغل إزاي أصلاً؟ 🛡️

قبل ما نفهم الثغرة، لازم نفهم الفكرة الأساسية.
أي Antivirus (بما فيهم Windows Defender) بيشتغل بطريقة بسيطة:

يفحص الملف أول ما يتحمّل أو يتنفّذ
يقارن الملف بقاعدة بيانات التهديدات
يقرر:
- آمن ✔️ → يسيبه يشتغل
- خطر ❌ → يمسحه أو يعزله

الموضوع كله قائم على فكرة اسمها: Check → Decision → Action

المشكلة الحقيقية: فجوة زمنية صغيرة جدًا ⏱️

هنا بقى يبدأ الخطر الحقيقي…
بين خطوة الفحص وخطوة التنفيذ في فجوة زمنية صغيرة جدًا
بس المدهشة إن حتى اللحظة الصغيرة دي ممكن تتستغل!
📌 وده اللي بنسميه: TOCTOU (Time Of Check To Time Of Use)

يعني إيه TOCTOU؟ 🤔

الفكرة ببساطة:

النظام يفحص الملف → يطمن إنه آمن
في اللحظة بين الفحص والتنفيذ…
المهاجم يغيّر الملف أو مساره

💥 النتيجة؟
الـ Defender يتخدع ويشوف ملف مختلف عن الحقيقي

BlueHammer و RedSun بيعملوا إيه؟ 💣

الثغرتين دول بيستغلوا نفس الفكرة:

1. BlueHammer

بيستهدف لحظة الفحص ويغيّر سلوك الملف بحيث:

يظهر كأنه ملف عادي
لكن وقت التنفيذ يتحول لشيء خطير

2. RedSun

بيشتغل بطريقة مشابهة لكن بيحاول:

يغيّر مسار الملف أثناء الفحص
أو يبدله بملف تاني “نظيف” مؤقتًا

📌 الهدف في الحالتين:
خداع Windows Defender في اللحظة الحرجة

النتيجة الخطيرة جدًا 💀

لو الاستغلال نجح، يحصل الآتي:

المستخدم العادي يتحول لصلاحيات أعلى (SYSTEM)
المهاجم يقدر يتحكم في الجهاز بالكامل
تشغيل أوامر بدون أي قيود
الوصول لكل الملفات

💡 ببساطة: الجهاز اللي كان “آمن” يتحول لسيطرة كاملة للمهاجم

ليه الثغرة دي خطيرة جدًا؟ ⚠️

لأنها مش بتعتمد على:

Passwords
ولا Phishing
ولا Malware تقليدي

لكن بتضرب في آلية الحماية نفسها
📌 يعني: حتى لو عندك Antivirus شغال… ممكن يتخدع

الفرق بين BlueHammer و RedSun 🧠

رغم إنهم قريبين جدًا في الفكرة، لكن:

واحدة تم إصدار Patch رسمي لها 🟢
التانية لسه تحت المعالجة 🔴

وده معناه إن في أنظمة لسه ممكن تكون معرضة للخطر لو مش محدثة.

إزاي تحمي نفسك؟ 🔐

حتى لو أنت مستخدم عادي، في شوية حاجات مهمة:

1. تحديث Windows باستمرار

أهم خطوة على الإطلاق

2. تفعيل Windows Defender بشكل كامل

ومتعطلوش لأي سبب

3. تجنب تشغيل ملفات مجهولة

خصوصًا الملفات اللي جاية من مصادر مش موثوقة

4. تقليل صلاحيات المستخدم

ما تشتغلش دائمًا كـ Administrator

الخلاصة 🎯

ثغرات زي BlueHammer و RedSun بتفكرنا بحاجة مهمة:

💡 مش كل الحماية معناها أمان كامل
💡 وفيه لحظات صغيرة جدًا ممكن تتستغل بشكل خطير

الفكرة الأساسية هنا:
الـ Security مش بس فحص… ده توقيت وتنفيذ وإدارة ذكية للعمليات

ثغرات Windows BlueHammer و RedSun شرح

Windows Defender بيشتغل إزاي أصلاً؟ 🛡️​

المشكلة الحقيقية: فجوة زمنية صغيرة جدًا ⏱️​

يعني إيه TOCTOU؟ 🤔​

BlueHammer و RedSun بيعملوا إيه؟ 💣​

1. BlueHammer​

2. RedSun​

النتيجة الخطيرة جدًا 💀​

ليه الثغرة دي خطيرة جدًا؟ ⚠️​

الفرق بين BlueHammer و RedSun 🧠​

إزاي تحمي نفسك؟ 🔐​

1. تحديث Windows باستمرار​

2. تفعيل Windows Defender بشكل كامل​

3. تجنب تشغيل ملفات مجهولة​

4. تقليل صلاحيات المستخدم​

الخلاصة 🎯​