CVE-2026-44815: שרת DHCP מזויף ברשת יכול להריץ קוד על כל מחשב Windows — ללא לחיצה

בכל פעם שהמחשב הנייד שלכם מתחבר לרשת ה-Wi-Fi של המשרד, של המלון, או של בית הקפה — הוא שולח קריאה לרשת: “מישהו כאן? תן לי כתובת IP.” זה קורה בצורה אוטומטית, בשבריר שניה, לחלוטין ברקע. אתם לא רואים את זה. אתם לא מאשרים את זה. אתם סומכים שהרשת תענה בצורה תקינה.

אבל מה אם המכשיר שעונה לאותה קריאה שייך לתוקף?

זה בדיוק האיום של CVE-2026-44815 — פגיעות קריטית בשירות DHCP Client של Windows שקיבלה ציון CVSS של 9.8 מתוך 10 ותוקנה ב-Patch Tuesday של יוני 2026 ב-9 ביוני. תוקף שיושב באותו סגמנט רשת יכול להריץ קוד שרירותי על כל מחשב Windows שמבקש כתובת IP — ללא אימות, ללא סיסמה, ובלי שהמשתמש יצטרך ללחוץ על דבר.

מה זה DHCP ולמה כולם תלויים בו?

DHCP (Dynamic Host Configuration Protocol) הוא הפרוטוקול שמחלק כתובות IP לכל מכשיר שמצטרף לרשת. דמיינו פקיד קבלה בכניסה למלון: כשאורח מגיע, הפקיד מוסר לו מפתח חדר, מסביר היכן נמצאת חדר האוכל, ומאיפה ניתן להתקשר לחוץ. DHCP עושה בדיוק את זה — אבל לרשתות מחשבים.

כשמחשב מצטרף לרשת, שירות ה-DHCP Client אומר לו:

  • “כתובת ה-IP שלך היא 192.168.1.47”
  • “השער (Gateway) לאינטרנט הוא 192.168.1.1”
  • “שרת ה-DNS שלך הוא 8.8.8.8”

ללא DHCP, כל מחשב בכל רשת בעולם היה דורש הגדרה ידנית. כל עובד חדש, כל מחשב נייד שמתחבר מחדש, כל טאבלט ברשת הארגונית — הכל היה מצריך טיפול ידני של מנהל רשת. DHCP הוא האוטומציה שגורמת לרשתות מודרניות לעבוד — בניין משרדים, בית חולים, מלון, קמפוס אוניברסיטאי. הוא אוטומטי, בלתי נראה, ונחשב לאמין כברירת מחדל. בדיוק מכך הוא מסוכן.

הפגיעות הטכנית: כוס שמתמלאת עד גדותיה — ומציפה

CVE-2026-44815 היא הצפת מאגר מבוססת מחסנית (CWE-121 — Stack-Based Buffer Overflow). כדי להבין את זה, צריך לדמיין את הזיכרון של המחשב כשורה של כוסות שמונחות על מדף. כל כוס היא “מאגר” (buffer) — מיכל עם גודל קבוע שנועד לאחסן כמות מסוימת של מידע.

כשמחשב Windows מקבל תגובת DHCP מהרשת, שירות DHCP Client מעתיק את הנתונים שהגיעו לתוך אחת מהכוסות הללו. הבעיה מתרחשת כשהתגובה מכילה יותר מידע ממה שהכוס יכולה להכיל — המים שופכים מעל לשפה ומציפים את מה שנמצא ליד.

בזיכרון המחשב, מה שנמצא ליד המאגר הוא לא סתם “שטח ריק” — שם נשמרות כתובות חשובות מאוד. ובעיקר, כתובת החזרה (return address): ההוראה שאומרת לתוכנה “כשתסיים עם הפונקציה הנוכחית, חזור לנקודה הזו ב-code.” תוקף שיודע בדיוק מה להציף לאותה כתובת — יכול לשכתב אותה בכתובת לקוד זדוני משלו. הביצוע הבא של התוכנה יקפוץ ישירות לשם.

הטריגר הספציפי בפגיעות זו הוא קריאה ל-API בשם DhcpGetOriginalSubnetMask — ממשק תכנות שבו DHCP Client משתמש כדי לאחזר מידע מתוך תגובת ה-DHCP. כשתגובה עוינת מגיעה בזמן הנכון, הקריאה הזו מפעילה את ההצפה.

מה זה “שרת DHCP מזויף” ואיך מקימים אחד?

כל מכשיר בעל מספיק הרשאות יכול לפעול כשרת DHCP. זה לא דורש ציוד מיוחד, ואין מנגנון מובנה ב-DHCP עצמו שמאמת מי מורשה לחלק כתובות IP ומי לא.

שרת DHCP מזויף (Rogue DHCP Server) הוא מכשיר שמוגדר על ידי תוקף לפעול בדיוק כמו שרת DHCP לגיטימי — אבל לשלוח תגובות עוינות. כשמחשב Windows שולח שאילתת DHCP Discover לרשת (בשידור לכל המכשירים — “מישהו כאן?”), שרת DHCP מזויף ירוץ להגיב לפני שרת ה-DHCP האמיתי. מי שעונה ראשון — מנצח.

רשתות שיתופיות הן הקרקע הפורייה ביותר לסוג זה של מתקפה: רשת ה-Wi-Fi של בית מלון שבה כל האורחים מחוברים יחד, רשת החשמל ב-co-working space שמשמשת עשרות חברות שונות, רשת ארגונית שבה מתאפשר איום פנימי (insider threat), ורשת ועידה גדולה שבה מאות אנשים מתחברים לאותה תשתית.

הכלים הנדרשים להקמת שרת DHCP מזויף הם חינמיים, ציבוריים, ומוכרים בקהילת אבטחת המידע. הגישה הנדרשת היא LAN בלבד — לא נדרשת כל גישה לאינטרנט, ולא נדרש לפרוץ שום דבר מחוץ לרשת.

שלב אחר שלב — המתקפה

שלב 1: חיבור לרשת

התוקף מתחבר לאותו סגמנט רשת כמו הקורבן — מחשב ב-Wi-Fi של המלון, מכשיר המחובר לאותו switch בארגון, או מחשב נייד בעמדת עבודה שיתופית.

שלב 2: הפעלת שרת DHCP מזויף

התוקף מפעיל כלי שמגדיר את המכשיר שלו לשמוע לשאילתות DHCP Discover ולהגיב עליהן.

שלב 3: המחשב הקורבן מצטרף לרשת

כשמחשב Windows מפעיל Wi-Fi מחדש, מחבר כבל רשת, או מתעורר ממצב שינה — הוא שולח שאילתת DHCP Discover בשידור לכל הרשת.

שלב 4: שרת ה-DHCP המזויף עונה ראשון

שרת התוקף שולח תגובה מעוצבת במיוחד לפני שרת ה-DHCP הלגיטימי. התגובה מכילה נתונים שנועדו לגרום להצפת מאגר כאשר DHCP Client קורא ל-DhcpGetOriginalSubnetMask.

שלב 5: הצפת המאגר וניצול ה-Exploit

שירות DHCP Client מעבד את התגובה. הנתונים העוינים גולשים מעבר לגבול המאגר ומשכתבים את כתובת החזרה בזיכרון המחסנית.

שלב 6: RCE — הרצת קוד שרירותי

הביצוע קופץ לקוד של התוקף. שירות DHCP Client פועל עם הרשאות גבוהות — ולכן הקוד שמורץ מקבל הרשאות מקבילות על המחשב הקורבן.

שלב 7: ביסוס שליטה

התוקף מתקין דלת אחורית, מוסיף משתמש ניהולי, גונב credentials — או פורס כופרה. הכל אוטומטי, ללא כל אינטראקציה של המשתמש.

מי בסכנה במיוחד?

באופן עקרוני, כל מחשב Windows המחובר לרשת שמשתמש ב-DHCP חשוף לפגיעות זו לפני ההתקנת העדכון. אולם, ישנם תרחישים שבהם הסיכון גבוה במיוחד:

עובדים ניידים עם מחשבים ניידים: כל חיבור לרשת Wi-Fi חדשה — מלון, כנס, בית קפה, משרד לקוח — הוא הזדמנות תקיפה אפשרית. מנהלי IT לרוב אינם שולטים על הרשתות הללו.

סביבות עבודה שיתופיות: co-working spaces, אזורי tech hub שבהם חברות מרובות חולקות תשתית רשת — כל עסק קטן או פרילנסר באותו מבנה עשוי להיות וקטור תקיפה.

איום פנימי (Insider Threat): עובד זדוני או מכשיר שנפרץ בתוך הרשת הארגונית יכול להפעיל שרת DHCP מזויף ולתקוף את כל שאר עמדות העבודה — מבלי לצאת אל מחוץ לפיירוול.

רשתות גדולות ולא מפולחות: ארגונים שבהם אין הפרדת VLAN מתאימה — כל המכשירים ברשת אחת — חשופים לאחר שתוקף חדר לאחד מהם.

המגבלה המרכזית של המתקפה: היא דורשת גישה לאותו סגמנט רשת — לא ניתן לבצע אותה מרחוק דרך האינטרנט. אבל בתרחישי מציאות רבים — נסיעות עסקיות, פריסה בענן, תשתית רשת משותפת — הגישה הזו זמינה.

מה לעשות עכשיו?

עדכנו מיידית

החילו את עדכוני Patch Tuesday של יוני 2026 מיד. זהו הצעד הקריטי והיחיד שמחסל את הפגיעות לחלוטין. עדכון אחד זה מגן על כל המחשבים ברשת. CVSS 9.8 — עדכנו קודם, שאלו שאלות אחר כך.

אם עדכון מיידי אינו אפשרי — הגבלת גישה ל-API

כמיטיגציה זמנית עד להתקנת העדכון: בדקו ובדקו שוב אילו אפליקציות בארגון שלכם קוראות ל-API בשם DhcpGetOriginalSubnetMask, ושקלו להגביל את ריצתן עד לאחר העדכון. הקריאה ל-API הזה היא הטריגר של הפגיעות.

הפעילו DHCP Snooping

DHCP Snooping היא תכונת אבטחה הקיימת ב-Managed Switches (מתגי רשת מנוהלים). היא מגדירה אילו פורטים ב-switch מורשים לשדר תגובות DHCP (רק הפורטים שמחוברים לשרתי DHCP לגיטימיים) — ומסננת תגובות DHCP שמגיעות מכל פורט אחר. DHCP Snooping חוסמת שרתי DHCP מזויפים ברמת הרשת.

השתמשו ב-VPN ברשתות ציבוריות

בחיבור לרשתות Wi-Fi שאינן בשליטת הארגון — מלון, כנס, בית קפה — VPN ארגוני מוצפן יוצר שכבת הגנה נוספת. הוא אינו מונע את הפגיעות ב-DHCP Client, אבל מגביל את הנזק האפשרי לאחר ניצולה.

נטרו לוגי DHCP

בחנו לוגי DHCP ברשת שלכם לאיתור הקצאות lease בלתי צפויות — כתובות IP שהוקצו ממקורות לא ידועים, תגובות DHCP מ-MAC addresses לא רשומים, או ריבוי חריגים של conflict בין שרת ה-DHCP הלגיטימי לתגובות אחרות.

פלחו את הרשת ב-VLANs

הפרדת רשת ל-VLANs מפחיתה את היקף הנזק: גם אם תוקף מקים שרת DHCP מזויף, הוא ישפיע רק על הסגמנט שבו הוא נמצא — לא על כל הארגון.

סיכום

CVE-2026-44815 ממחישה כיצד פרוטוקול בסיסי ובלתי נראה — שפועל מאחורי הקלעים בכל חיבור לרשת — יכול להפוך לווקטור תקיפה קריטי. אין כאן דרישה לאינטרנט. אין כאן צורך בסיסמות גנובות. יש כאן רק שרת DHCP מזויף ומחשב Windows לא מעודכן — וזה מספיק.

מודל האיום כולל insiders, מכשירים שנפרצו באותה רשת, ורשתות ציבוריות ששימשו אתם — עובדים ניידים, כנסים, מלונות. CVSS 9.8 הוא ציון שמשאיר מעט מאוד מקום לספקות: עדכנו עכשיו.


מקורות: Microsoft Security Update Guide | The Hacker News | threat-modeling.com

תגובות