بدأت شركة مايكروسوفت عام 2025 بضجة كبيرة في يوم الثلاثاء الثاني من شهر يناير، حيث حققت خسارة هائلة التصحيح الثلاثاء تحديث يحتوي على إصلاحات لـ 159 نقطة ضعف – يرتفع إلى 161 نقطة ضعف تتضمن نقطتي ضعف إضافيتين من خلال CERT CC وGitHub.
وفقا لداستن تشايلدز من مبادرة يوم الصفرقد يكون هذا أكبر عدد من التصديات للتطرف العنيف التي تمت معالجتها في شهر واحد منذ عام 2017 – في الواقع، إنه أكثر من ثلاثة أضعاف العدد (49) ثابت هذا الوقت من العام الماضي – ويتبع آخر تحديث ديسمبر ثقيل بشكل غير عادي.
“[This] كتب تشايلدز في كتابه: “قد تكون علامة مشؤومة على مستويات التصحيح في عام 2025”. مدونة مستديرة منتظمة. “سيكون من المثير للاهتمام أن نرى كيف سيكون شكل هذا العام.”
تايلر ريجولي, فورترا وافق المدير المساعد للبحث والتطوير الأمني على ما يلي: “هذا بالتأكيد أحد تلك الأشهر التي يحتاج فيها المسؤولون إلى التراجع، وأخذ نفس عميق وتحديد خطة الهجوم الخاصة بهم.
“على الرغم من أنه سيتم حل عدد كبير من هذه الثغرات الأمنية من خلال التحديث التراكمي لنظام التشغيل Windows، إلا أن هناك عددًا كبيرًا من البرامج الأخرى المتأثرة بما في ذلك عدد من منتجات Office – Word وExcel وAccess وOutlook وVisio وSharePoint – بالإضافة إلى برامج Microsoft الأخرى. منتجات مثل .NET و.NET Framework وVisual Studio.
“مثل هذه الأشهر رائعة [reminder] قال ريجولي: “يجب على المسؤولين أن يثقوا ببائعيهم وأدواتهم”. “إصلاح 161 نقطة ضعف لا يمكن أن يكون عملية يدوية بالكامل، خاصة وأننا نعلم أن أكثر من مجرد تصحيحات مايكروسوفت تسقط اليوم. قامت Adobe، على سبيل المثال، بإسقاط تحديثات لبرنامج Photoshop وSubstance3D Stager وIllustrator لأجهزة iPad وAnimate وAdobe Substance3D Designer.
“لا ينبغي أن يكون تصحيح الثغرات الأمنية مسعىً منفردًا في المؤسسة، وإذا كان الأمر كذلك، فقد يكون الوقت قد حان للتحدث مع قيادتك حول تغييرات التوظيف والأدوات.”
أيام صفر
ومن بين مجموعة الثغرات الوفيرة ما لا يقل عن ثمانية أيام صفر، منها ثلاثة من المعروف أنه تم استغلالها في البرية، و11 عيبًا خطيرًا.
الأيام الصفرية لهذا الشهر هي كما يلي:
- CVE-2025-21333، رفع الامتياز (EoP) vuln في Windows Hyper-V NT Kernel VSP؛
- CVE-2025-21334، ثغرة أمنية ثانية في EoP في نفس الخدمة؛
- CVE-2025-21335، ثغرة EoP ثالثة في نفس الخدمة.
ومن المعروف أن هذه العيوب في Windows Hyper-V NT Kernel VSP قد تم استغلالها في البرية، ولكن لم يتم الإعلان عن هذه الثغرات بعد، بينما بالنسبة للخمسة المتبقية، فإن العكس هو الصحيح. هذه هي:
سعيد عباسي، مدير الثغرات الأمنية في وحدة أبحاث التهديدات في Qualys، قال إن تصحيح مشكلات Hyper-V في الوقت المناسب كان أمرًا بالغ الأهمية نظرًا لأنها تتعرض لهجوم نشط.
قال عباسي: “إنها تسمح للمستخدم المعتمد برفع الامتيازات إلى SYSTEM وتسمح له بالتحكم الكامل في البيئة المتأثرة”.
“عادةً ما يشير الانتقال من ضيف إلى مضيف/مشرف افتراضي إلى وجود CVSS [Common Vulnerability Scoring System] تغيير النطاق، لكن الكشف الحالي لشركة Microsoft لم يؤكد ذلك بشكل صريح، مما يشير إلى أن هناك حاجة إلى مزيد من التفاصيل؛ قد يؤدي ذلك إلى تعريض البنية التحتية للمضيف بالكامل للخطر، وليس فقط الجهاز الظاهري الفردي [virtual machine]”.
يمثل التهديد القادر على تحقيق الامتيازات على مستوى النظام مصدر قلق بالغ للمدافعين، لأنه يفتح الباب أمام إجراءات أخرى – مثل تعطيل أدوات الأمان الموجودة على متن الطائرة، أو تفريغ بيانات الاعتماد للتمحور عبر المجالات داخل البيئة المستهدفة. يتم استخدام مثل هذه التقنيات بشكل متكرر من قبل العصابات الإجرامية السيبرانية ذات الدوافع المالية ومشغلي التجسس المدعومين من الدولة القومية.
هل تفعل أو لا تأخذ الوصول؟
وفي الوقت نفسه، آدم بارنيت، مهندس البرمجيات الرئيسي في سريع7، قام بتشغيل القاعدة على مشكلات RCE الثلاثة المشابهة في Microsoft Access.
وأوضح بارنيت كيف أن الاستغلال الناجح – في حالة حدوثه – سيتطلب خداع المستخدم لتنزيل ملف ضار وفتحه، مما يؤدي إلى تنفيذ التعليمات البرمجية عبر تجاوز سعة المخزن المؤقت القائم على الكومة.
“من الغريب، في كل حالة، أن جزءًا واحدًا من الأسئلة الشائعة الاستشارية يصف حماية التحديث على أنها “حظر إرسال الملحقات الضارة المحتملة في بريد إلكتروني”، لكن الجزء المتبقي من الاستشارة لا يوضح كيف يمكن أن يمنع هذا النشاط الضار،” كما قال. بارنيت.
“عادةً ما توفر التصحيحات الحماية عن طريق حظر الملفات الضارة عند استلام مرفق بريد إلكتروني ضار، بدلاً من منع إرسال مرفق ضار في المقام الأول، حيث أن المهاجم حر في إرسال ما يريد من أي نظام يتحكم فيه.
“على أية حال، تشير الأسئلة الشائعة إلى أن المستخدمين الذين كانوا سيتفاعلون مع مرفق ضار سيتلقون بدلاً من ذلك إشعارًا بوجود مرفق ولكن “لا يمكن الوصول إليه”، وهو ربما يكون أفضل تلاعب بالكلمات التي رأيناها قال: “من MSRC في فترة من الوقت”.
وفيما يتعلق بخلل الانتحال في سمات Windows، قال بارنيت إن العديد من المسؤولين والمستخدمين قد لا يفكرون في هذه الميزة – التي تمكن المستخدمين من تخصيص أجهزة سطح المكتب الخاصة بهم باستخدام صور الخلفية وحافظات الشاشة وما إلى ذلك – في كثير من الأحيان، إذا كان ذلك على الإطلاق، ولكن لا يزال من الضروري الدفع اهتمام وثيق بجميع جوانب ملكية Windows.
وقال: “يؤدي الاستغلال الناجح إلى الكشف غير الصحيح عن تجزئة NTLM، مما يسمح للمهاجم بانتحال شخصية المستخدم الذي تم الحصول عليها منه”.
“الأسئلة الشائعة الاستشارية تتمحور حول منهجية الاستغلال دون شرح؛ ما تعلمناه هو أنه بمجرد قيام المهاجم بطريقة أو بأخرى بتسليم ملف ضار إلى النظام المستهدف، سيحتاج المستخدم إلى التعامل مع الملف الضار، ولكن ليس بالضرورة النقر فوقه أو فتحه.
“بدون مزيد من التفاصيل، لا يمكننا إلا أن نتكهن، ولكن من المعقول أن مجرد فتح مجلد يحتوي على الملف في Windows Explorer – بما في ذلك مجلد التنزيلات – أو إدخال محرك أقراص USB، سيكون كافيًا لإثارة الثغرة الأمنية ورؤية تسرب تجزئة NTLM الخاص بك بصمت. ليتم جمعها من قبل ممثل التهديد.
