علامة مايكروسوفت التصحيح قبل الأخير الثلاثاء لعام 2025 مع تحديث أخف من الآونة الأخيرة، يعالج فقط 63 نقطة ضعف وتعرض شائعًا (CVEs) عبر مجموعة منتجاتها – وهو بعيد كل البعد عن العديد من الانخفاضات الأخيرة التي بلغ متوسطها أكثر من 100 – وعيب يوم الصفر الوحيد.
تتبع باسم CVE-2025-62215، يمثل يوم الصفر الوحيد لهذا الشهر ثغرة أمنية في ارتفاع الامتياز (EoP) في Windows Kernel الذي يقع في قلب نظام التشغيل Microsoft. إنها تحمل درجة CVSS تبلغ 7.0 فقط، ولم يتم تصنيفها على أنها حرجة من حيث خطورتها، ومع ذلك، فقد لوحظ استغلالها في البرية، على الرغم من عدم إصدار أي إثبات عام للمفهوم حتى الآن.
بن مكارثي، مهندس رئيسي للأمن السيبراني في غامرةوأوضح أن السبب الجذري للمشكلة ينبع من نقطتي ضعف مجتمعتين، إحداهما حالة سباق تحاول فيها أكثر من عملية الوصول إلى البيانات المشتركة وتغييرها بشكل متزامن، والأخرى خطأ مزدوج في إدارة الذاكرة الحرة.
وأوضح: “يمكن للمهاجم الذي يتمتع بوصول محلي منخفض الامتيازات تشغيل تطبيق مصمم خصيصًا يحاول بشكل متكرر إثارة حالة السباق هذه”. “الهدف هو جعل سلاسل العمليات المتعددة تتفاعل مع مورد kernel مشترك بطريقة غير متزامنة، مما يؤدي إلى إرباك إدارة ذاكرة kernel ويجعلها تحرر نفس كتلة الذاكرة مرتين.
“يؤدي هذا التحرر المزدوج الناجح إلى إفساد كومة النواة، مما يسمح للمهاجم بالكتابة فوق الذاكرة واختطاف تدفق تنفيذ النظام.”
وأضاف مكارثي: “يجب على المؤسسات إعطاء الأولوية لتطبيق التصحيح لهذه الثغرة الأمنية. في حين أن نتيجة 7.0 CVSS قد لا تتصدر دائمًا قائمة التصحيحات، فإن حالة الاستغلال النشط تجعلها أولوية حرجة. يمنح الاستغلال الناجح امتيازات نظام المهاجم، مما يسمح له بتجاوز أمان نقطة النهاية بشكل كامل، وسرقة بيانات الاعتماد، وتثبيت الجذور الخفية، وتنفيذ إجراءات ضارة أخرى. وهذا رابط مهم في قواعد اللعبة الخاصة بالمهاجم بعد الاستغلال.”
قال مايك والترز، الرئيس والمؤسس المشارك لشركة الإجراء1، هناك ثلاثة تأثيرات أساسية على الأعمال من المحتمل أن تنشأ من التسوية الناجحة عبر CVE-2025-62215. وسلط والترز الضوء على إمكانية التعرض الجماعي لبيانات الاعتماد الناشئة عن اختراق خوادم الملفات المهمة، والحركة الجانبية ونشر برامج الفدية، والضرر التنظيمي والمالي والمتعلق بالسمعة من تسرب البيانات أو أي انقطاع تشغيلي آخر.
وأشار إلى أن “الاستغلال أمر معقد، ولكن الاستغلال الوظيفي الذي نشاهده في البرية يثير الإلحاح، حيث يمكن للجهات الفاعلة الماهرة تسليح ذلك بشكل موثوق في الحملات المستهدفة”.
ومن بين الموضوعات التي تتصدر جدول أعمال شهر نوفمبر أيضًا CVE-2025-60724 ثغرة RCE في Graphics Device Interface Plus (GDI+)، والتي تحمل درجة CVSS تبلغ 9.8. يعد GDI+ مكونًا منخفض المستوى نسبيًا ولكنه مسؤول عن عرض الرسومات والصور والنصوص ثنائية الأبعاد، وبالتالي يوفر الوظائف الأساسية لتطبيقات Microsoft المتعددة – وعدد لا يحصى من برامج الطرف الثالث أيضًا.
قال آدم بارنيت، كبير مهندسي البرمجيات في Rapid7، إن هذا كان أقرب ما يكون إلى يوم الصفر الذي كان من الممكن الحصول عليه ومن المحتمل أن يؤثر على كل الأصول التي تقوم بتشغيل برامج Microsoft.
وقال: “في أسوأ السيناريوهات، يمكن للمهاجم استغلال هذه الثغرة الأمنية عن طريق تحميل مستند ضار إلى خدمة ويب معرضة للخطر”.
“لا يوضح الاستشارة سياق تنفيذ التعليمات البرمجية، ولكن إذا كانت كل النجوم متوافقة مع المهاجم، فقد تكون الجائزة هي تنفيذ التعليمات البرمجية عن بعد كنظام عبر الشبكة دون أي حاجة إلى موطئ قدم موجود. في حين أن هذا الضعف غير قابل للاختراق، فمن الواضح أنه خطير للغاية ويمثل بالتأكيد أولوية قصوى لأي شخص يفكر في كيفية التعامل مع تصحيحات هذا الشهر.”
أضاف والترز من Action1: “هذا هو مستوى الطوارئ: يعد RCE الذي يمكن الوصول إليه عبر الشبكة دون تفاعل المستخدم وانخفاض تعقيد الهجوم من بين أخطر الأخطاء. إن اختراق الخادم وتأثير المستأجر في الأنظمة متعددة المستأجرين وإمكانية الاستغلال الجماعي السريع يجعل هذا أولوية قصوى.
“قد يستغرق الاستغلال بعض الوقت للوصول إلى الكمال لأنه يجب على المهاجمين إنشاء معالجات موثوقة للمخصص والمترجم الفوري تتجاوز عمليات التخفيف مثل CFG وASLR وDEP. ومع ذلك، تتمتع أخطاء GDI+ وأخطاء تحليل الصور بتاريخ من التسلح بسرعة.”
الأخطاء التي نالت استحسان النقاد
أخيرًا، يتضمن جدول أعمال فرق الأمن هذا الشهر أربع نقاط ضعف خطيرة، أبرزها داستن تشايلدز من مبادرة Zero Day الخاصة بـ Trend Micro (زدي). هذه هي CVE-2025-30398، عيب في الكشف عن معلومات الطرف الثالث في Nuance PowerScribe 360؛ CVE-2025-60716وعيب EoP في DirectX Graphics Kernel؛ CVE-2025-62199وعيب RCE في Microsoft Office؛ و CVE-2025-62214، عيب RCE آخر في Visual Studio.
