ثغرتان جديدتان في ويندوز يوم الصفر تؤثران على كل إصدار تم شحنه

أصدرت مايكروسوفت تصحيحات لأنظمة متعددة تتضمن 183 ثغرة أمنية، بينها ثغرتان من نوع يوم الصفر (Zero-Day) تمَّ استغلالهما فعليًا. هذا المقال يشرح باختصار ما حدث، الثغرات الأكثر خطورة، التأثيرات العملية، وخطوات التخفيف التي يجب على فرق تكنولوجيا المعلومات تنفيذها فورًا.

ملخص الثغرات المُستغلة عمليًا

الثغرتان اللتان تم استغلالهما فعليًا هما ثغرتان تصعيد امتيازات داخل مكونات مضمّنة في ويندوز:

• CVE-2025-24990 (CVSS 7.8) — برنامج تشغيل مودم Agere (ltmdm64.sys). مايكروسوفت قررت إزالة هذا السائق بدلاً من تصحيحه لأنه مكوّن طرف ثالث قديم مُثبت افتراضيًا على كل الأنظمة.
• CVE-2025-59230 (CVSS 7.8) — Remote Access Connection Manager (RasMan). أول مرة تُستغل ثغرة يوم الصفر في هذا المكوّن رغم أن مايكروسوفت أصلحت أكثر من 20 ثغرة فيه منذ 2022.

ثغرة IGEL Secure Boot المستغلة

تم أيضًا استغلال ثغرة تجاوز Secure Boot في IGEL OS (CVE-2025-47827, CVSS 4.6)، والتي تتطلّب عادة وصولًا ماديًا للاستغلال (نوع هجمات «الخادمة الشريرة» — evil-maid). تأثيرها كبير لأنه يسمح بنشر rootkit على مستوى النواة والوصول إلى أجهزة سطح المكتب الافتراضية.

ثغرات إضافية خطيرة يجب الانتباه لها

• CVE-2025-59287 (CVSS 9.8) — RCE في خدمة Windows Server Update Service (WSUS).
• CVE-2025-2884 (CVSS 5.3) — قراءة خارج الحدود في دالة CryptHmacSign بتنفيذ مرجعي TPM2.0.
• CVE-2025-59295 (CVSS 8.8) — RCE في تحليل عناوين URL في ويندوز.
• CVE-2025-49708 (CVSS 9.9) — تصعيد امتيازات في Microsoft Graphics Component يَؤدّي إلى هروب من الآلة الافتراضية (VM escape).
• CVE-2025-55315 (CVSS 9.9) — تجاوز ميزة أمان في ASP.NET يسمح بتهريب طلب HTTP ثانٍ داخل الطلب الموثّق.

لماذا هذه الثغرات خطيرة وما الذي يعنيه ذلك لمؤسستك

ثغرات تصعيد الامتيازات تسمح لمهاجم محلي بزيادة صلاحياته إلى حساب مسؤول النظام (Administrator / SYSTEM). ثغرات RCE تُمكّن المهاجم من تنفيذ كود ضار عن بُعد. والثغرات التي تبطل عزلاً افتراضيًا (VM escape) تُعدُّ من أخطر السيناريوهات لأنها تخرج المهاجم من بيئة معزولة إلى الخادم المضيف.

توصيات فورية للمدراء وفرق الأمن

1. تثبيت التصحيحات فورًا — طبق تحديثات مايكروسوفت الرسمية لجميع الأنظمة المتأثرة. الجهات الفدرالية مطالبة بالتطبيق بحلول 4 نوفمبر 2025.
2. يمكن إزالة برنامج تشغيل Agere — مايكروسوفت تخطط لإزالة السائق؛ إلى حين ذلك، عزل أو إزالة ltmdm64.sys عند الإمكان كإجراء تخفيف مؤقت.
3. تقييد حقوق الحسابات المحلية — قلل امتدادات الصلاحيات للحسابات المحلية واستخدم مبدأ أقل الصلاحيات (PoLP).
4. مراجعة سجلات الرصد — فحص سجلات Windows Event و EDR للبحث عن محاولات تصعيد أو استدعاءات غير معتادة لדרﻓرات النظام و RasMan.
5. تحديث سياسات الأجهزة المحمولة والسفر — التوعية بالعقبات المرتبطة بهجمات evil-maid وتطبيق تشفير كامل للأقراص وإجراءات مصادقة عند السفر.
6. اختبار النسخ الاحتياطية واستجابة الحوادث — التأكد من صلاحية النسخ الاحتياطية وخطط الاستجابة للحوادث قبل أي هجوم محتمل.

مؤشرات الكشف (IOCs) ونقاط فحص تقنية

• وجود ltmdm64.sys في مجلدات النظام على أجهزة لا تستخدم مودم فعلي.
• اتصالات أو عمليات نفّذتها خدمة RasMan خارج السلوك الاعتيادي أو من حسابات منخفضة الصلاحية.
• محاولات تحميل أو استدعاء شيفرات في مساحة kernel مرتبطة بمكونات الرسوميات أو تحليل URL.

خطة تصحيح أولويات مقترحة

1) أنظمة التعرض العالي (الخوادم، وحدات التحكم بالمجال، قواعد البيانات) — تطبيق التصحيحات والاختبارات فورًا. 2) محطات العمل للمستخدمين ذوي امتيازات مرتفعة — تحديث وإزالة السائق الغير ضروري. 3) بقية محطات العمل — جدولة التحديث ضمن نافذة صيانة قصيرة.

خلاصة سريعة

التحديث الأخير لمايكروسوفت يكشف عن موجة من الثغرات التي تشمل ثغرتي يوم الصفر في مكونات مثبتة افتراضيًا، وهو تذكير قوي بضرورة الالتزام السريع بتطبيق التصحيحات، تقليل الامتيازات الافتراضية، ومراجعة سياسات الأجهزة والسفر. فرق الأمن يجب أن تدرج هذه الثغرات ضمن أولوياتها العملية وتطبق خطوات التخفيف المذكورة أعلاه فورًا.

للمزيد من التفاصيل التقنية وروابط التحميل الرسمية للتصحيحات راجع صفحة مايكروسوفت للتحديثات الأمنية وكتالوج CISA KEV.

انشر هذا المقال وشاركه مع فريقك وابقَ على تواصل لمزيد من نشرات التهديدات والتوجيهات العملية.