أصدرت Microsoft إصلاحات لما مجموعه خمسة نقاط الضعف الجديدة صفرًا من إجمالي ما يزيد قليلاً عن 70 عامًا نقاط الضعف والتعرضات الشائعة (CVES) في الخامس التصحيح الثلاثاء من 2025-أكثر من 80 عندما يتم حساب قضايا الطرف الثالث.
بالترتيب العددي ، فإن أيام الصفر لهذا الشهر هي كما يلي:
- CVE-2025-30400، ارتفاع الضعف من امتياز (EOP) في مكتبة Microsoft DWM الأساسية ؛
- CVE-2025-30397، فساد الذاكرة يؤدي إلى ضعف تنفيذ التعليمات البرمجية (RCE) في محرك البرمجة النصية ؛
- CVE-2025-32701، ثغرة EOP في برنامج تشغيل نظام ملفات السجل الشائع Windows (CLFS) ؛
- CVE-2025-32706 ، عيب EOP الثاني في CLFS.
- CVE-2025-32709، مشكلة EOP في برنامج تشغيل وظيفة Windows Asillary لـ Winsock (AFD.SYS).
يتم إدراج جميع هذه CVES الخمسة من قبل Microsoft على أنها تستغلها في البرية ، ولكن لم يتم نشرها بعد. تم تصنيفها جميعًا على أنها شدة مهمة ، وكلها تنقذ عيب محرك البرمجة النصية تحمل تصنيفات CVSS من 7.8.
مايك والترز ، الرئيس والمؤسس المشارك لأخصائي إدارة باتش Action1، قال إن مشكلتي CLFS برزت على أنهما خطير بشكل خاص نظرًا لتهميته في الحوسبة-يعد CLFS مكونًا مهمًا يقوم مقدمو الخدمات بتسجيل الخدمات لتطبيقات وضع المستخدم والنواة ، ويستخدم على نطاق واسع من قبل خدمات النظام المختلفة وتطبيقات الطرف الثالث.
وقال والترز: “يمكن للمهاجمين الذين يستغلون نقاط الضعف هذه تصعيد الامتيازات إلى مستوى النظام ، مما يمنحهم التحكم الكامل لتشغيل التعليمات البرمجية التعسفية أو تثبيت البرامج الضارة أو تعديل البيانات أو تعطيل حماية الأمان”.
“مع التعقيد المنخفض والحد الأدنى من الامتيازات ، تشكل هذه العيوب خطرًا خطيرًا ، خاصةً بالنظر إلى الاستغلال المؤكد في النهاية [and] على الرغم من عدم توفر رمز استغلال عام حاليًا ، فإن وجود هجمات نشطة يشير إلى أن الحملات المستهدفة ، التي قد تنطوي على تهديدات مستمرة متقدمة (APTS) ، جارية بالفعل.
وقال والترز: “يجب على المؤسسات إعطاء الأولوية للتقييم الفوري وعلاج هذه الثغرات الأمنية لمنع التسوية المحتملة. أي منظمة تدير أنظمة Windows – عبر قطاعات المؤسسات أو الحكومة أو التعليم أو المستهلكين – يمكن تعريضها. بالنظر إلى البصمة العالمية لنظام التشغيل Windows ، من المحتمل أن تكون ملايين الأجهزة في خطر”.
لاحظ كيف برين ، مدير أبحاث التهديدات في قائمة أبحاث التهديد في قوائم تصحيح مدراء الأمن ، كما لاحظت كيف برين ، مدير أبحاث التهديد غامرة. وأوضح: “إذا تم استغلالها ، فسوف يسمح للمهاجمين بالحصول على إذن على مستوى النظام على المضيف المتأثر. مع هذا المستوى من الامتياز ، سيتمكن المهاجمون من السيطرة الكاملة على المضيف ، بما في ذلك أي أدوات أمان وحسابات المستخدمين ، مما قد يسمح بإمكانية الوصول إلى مستوى المجال.
“يتم تمييز هذا CVE على أنه” استغلال تم اكتشافه “من قبل فريق Microsoft ، مما يعني أنه ينبغي تطبيق تصحيحات على الفور حيث أن مجموعات التهديدات ، بما في ذلك الشركات التابعة لـ Ransomware ، ستكون سريعة في الاستفادة من هذه التفاصيل مرة أخرى.”
وأضاف برين أنه بمجرد حدوث ذلك ، يجب على الفرق الإلكترونية وصيادين التهديدات العمل بسرعة لمراجعة أنظمتهم لمؤشرات التسوية (IOCS) لضمان عدم ضربهم في النافذة بين النقطة التي بدأ فيها ممثلو التهديدات على نطاق واسع ، وتم إصدار التصحيح.
أدار زميل برين ، باحث استخبارات التهديد السيبراني بن هوبكنز ، القاعدة على ما تبقى من أيام الصفر المستغلة ، CVE-2010-30397 في محرك البرمجة النصية و CVE-2025-32709 في AFD.SYS
“إن ثغرة أمنية فساد ذاكرة محرك البرمجة النصية تحدث عندما يقوم محرك البرمجة النصية Microsoft بإلغاء كائنات الذاكرة ، في هذه الحالة ، مما يؤدي إلى ارتفاع الامتياز الذي يقوم به المهاجم”.
“يوجد هذا الضعف المحدد … يتضمن الوصول إلى مورد باستخدام (” نوع الارتباك “) والذي يسمح للمهاجمين بتنفيذ التعليمات البرمجية عبر الشبكة. اكتب الارتباك في هذا السياق يحدث عندما يعامل البرنامج عن طريق الخطأ جزءًا من البيانات كنوع مختلف عما هو عليه في الواقع ، مما يؤدي إلى سلوكه غير المحدد وغير المتوقع ، مما يسمح للمهاجمة بالتنفيذه إلى الرمز البارز و
بالنسبة إلى الشخص العادي ، فإن هذا يعني أنه بعد تحقيق امتيازات على مستوى النظام ، يمكن لممثل التهديد الوصول بسهولة إلى البيانات الحساسة والبحث عن فرص للوصول إلى أجزاء أخرى أكثر قيمة من شبكة الضحية.
بالانتقال إلى المشكلة التي تؤثر على AFD.SYS ، فإن برنامج تشغيل وضع Kernel الأساسي الذي يدعم عمليات مقبس الشبكة عن طريق سد من Winsock (Windows Sockets API) في مساحة المستخدم ، وبرامج تشغيل الشبكة ذات المستوى الأدنى في kernel ، أوضح هوبكنز أن هناك ما يتوافق مع المهاجم غير المصوّرة ، مما لا يزال من الممكن أن يتم الوصول إلى المبرمج إلى ما يتصرف بالرقابة. لهم القدرة على رفع امتيازاتهم.
في كلتا الحالتين ، ما يعنيه هذا هو أنه بعد تحقيق امتيازات على مستوى النظام ، يمكن لممثل التهديد الوصول بسهولة إلى البيانات الحساسة والبحث عن فرص للوصول إلى أجزاء أخرى أكثر قيمة من شبكة الضحية.
تم الكشف عن اثنين من أيام الصفر الإضافية بشكل عام اليوم (13 مايو) ولكن لم يتم الإبلاغ عنها بعد تعرضها للهجوم في وقت كتابة هذا التقرير. هذه هي CVE-2025-26685، ثغرة أمنية في Microsoft Defender للهوية ، و CVE-2025-32702، ضعف RCE في Visual Studio. يتم تصنيف كلاهما من شدة مهمة ، حيث يحمل درجات CVSS من 6.5 و 7.8 على التوالي.
لا يزال العمال عن بعد هدفًا
أخيرًا ، يجلب تحديث May ما مجموعه 11 عيوبًا مهمة تؤثر على أتمتة Azure و Azure DevOps وموارد تخزين Azure و Microsoft Dateverse و Microsoft msagsfeedback.zurewebsites.net و Microsoft Office و Microsoft Power Apps ، Microsoft Virtual Machine Bus (RDP). وقال مايكروسوفت إن هذه المشكلات تدير سلسلة من EOP إلى الخداع إلى الكشف عن المعلومات ، وتؤدي ستة منها إلى RCE.
من بين القضايا الحرجة ، أخبر Walters ‘Co-Ceo والمؤسس المشارك في Action1 ، Alex Vovk ، Computer Weekly أن عيوب RDP برزت بشكل خاص. يتم تتبع هذه CVE-2025-29966 و CVE-2025-29967.
“كلا من نقاط الضعف تشكل مخاطر حرجة ، بما في ذلك تنفيذ الكود البعيد ، والحل الوسط الكامل للنظام ، وانتهاكات البيانات” ، علق Vovk.
“نظرًا للاعتماد الواسع لخدمات سطح المكتب عن بُعد ، من المحتمل أن تعرض العديد من المؤسسات. CVE-2025-29966 و CVE-2025-29967 تؤكد الحاجة الملحة إلى تأمين كل من مكونات العميل والخادم في بيئات الوصول عن بُعد.”
