تنبيه لوجود ثغرة أمنية حرجة في WSUS مع الاستغلال النشط

  • يسمح CVE-2025-59287 بتنفيذ التعليمات البرمجية عن بعد في WSUS عبر التسلسل غير الآمن وهو قابل للاستغلال بالفعل.
  • أصدرت Microsoft تصحيحًا خارج النطاق بعد اكتشاف أن الإصلاح الأولي لم يخفف المشكلة بالكامل.
  • يؤثر فقط على الخوادم التي تم تمكين دور WSUS بها والمنافذ 8530/8531 المكشوفة أو القابلة للوصول.
  • التخفيف المؤقت: تعطيل WSUS أو حظر 8530/8531 على جدار الحماية المضيف؛ يلزم إعادة التشغيل بعد الترقية.
Alberto Navarro

5 دقيقة

ثغرة أمنية في WSUS

ل ثغرة خطيرة في خدمات تحديث Windows Server (WSUS)يتم استغلال الثغرة الأمنية، المعروفة باسم CVE-2025-59287، من قبل المهاجمين لتنفيذ التعليمات البرمجية عن بُعد ودون مصادقة. تكمن نقطة الضعف في إلغاء تسلسل البيانات غير الموثوقة وقد حفز النشر العاجل تصحيحات خارج النطاق بواسطة Microsoft.

وقد أكد المحققون المستقلون وفرق الاستجابة الأنشطة الخبيثة في بيئات الحياة الواقعية، مع محاولات التسلل والحملات التي تستهدف خوادم WSUS التي يمكن الوصول إليها عبر الشبكة. المنظمات في أوروبا وفي إسبانيا يجب عليهم أن يعطوا هذه الحادثة أعلى أولوية للتصحيح بسبب احتمالية حدوث اختراق جماعي لنظام توزيع التحديثات.

ماذا حدث ولماذا هو مهم

الخطأ، تم تتبعه على أنه CVE-2025-59287 (CVSS 9,8)يسمح هذا لمهاجم بعيد غير مُصادق عليه بتنفيذ تعليمات برمجية بامتيازات عالية عن طريق إرسال أحداث مُصممة خصيصًا إلى خدمة WSUS. أعادت مايكروسوفت إصدار النشرة بعد التأكد من أن لم يخفف التحديث الأولي المشكلة بشكل كامل المشكلة، وأصدرت إصلاحًا خارج النطاق للتطبيق الفوري.

وفقًا لمصادر صناعية مختلفة، مثل Huntress وHorizon3.ai وفرق الاستخبارات الخاصة بالتهديدات، فإن أسلوب الهجوم هو تعقيد منخفض ومع ثغرة أمنية متاحة للعامة، أصبحت هدفًا مرغوبًا. علاوة على ذلك، أضافت وكالة الأمن السيبراني الأمريكية (CISA) هذه الثغرة إلى قائمة كتالوج الثغرات المستغلة، وهو ما يؤكد على ضرورة التحرك العاجل.

كيف تعمل الثغرة الأمنية

جوهر المشكلة هو إلغاء التسلسل غير الآمن في WSUS، والتي يمكن تشغيلها من خلال طلبات لخدمات الويب الخاصة بالدور. في السيناريوهات المُلاحظة، تُسبب الطلبات عملية WSUS أو عامل من IIS قم بإنشاء cmd.exe و PowerShell، تمكين تنفيذ الحمولات.

تشير التحقيقات الفنية إلى أن التعامل مع ملفات تعريف الارتباط للترخيص عند نقطة دخول محددة، حيث يتم فك تشفير البيانات المشفرة (مثلاً باستخدام AES-128-CBC) وإلغاء تسلسلها دون التحقق من النوع باستخدام آليات قديمة. هذا يفتح الباب أمام RCE مع امتيازات النظام إذا كان من الممكن الوصول إلى الخادم.

الإصدارات المتأثرة وتوافر التصحيحات

أصدرت Microsoft تحديثات خارج النطاق لـ Windows Server 2012، و2012 R2، و2016، و2019، و2022 (بما في ذلك 23H2 Server Core)، وWindows Server 2025يجب إعادة تشغيل النظام بعد تثبيت التصحيح لإكمال عملية التخفيف.

الأهم لا تتأثر الخوادم التي لا يُفعّل فيها دور WSUS. بالنسبة للخوادم التي لا تستطيع التحديث فورًا، تقترح الشركة التدابير المؤقتة:تعطيل الدور أو حظر حركة المرور الواردة إلى المنافذ 8530/8531 على جدار الحماية المضيف.

الاستغلال في أوروبا: التسلسل الزمني والحملات المرصودة

وقد أكدت السلطات الأوروبية والموردون وجود علامات استغلال. المركز الوطني للأمن السيبراني في هولندا تم الإبلاغ عن الانتهاكات التي تم رصدها في 24 أكتوبر، استنادًا إلى معلومات من شريك موثوق به، في حين معهد المعايير الألماني تحذير من التأثير في حالة وصول المهاجم إلى الشبكة الداخلية أو في حالة حدوث فشل في التجزئة.

وذكرت شركة Eye Security أن آلاف الحالات المكشوفة على الإنترنت، بما في ذلك المئات في ألمانيا وحوالي مائة في هولندا. في عدة حالات، أرسل الخصوم طلبات POST إلى خدمات الويب WSUS لتنشيط عملية إلغاء التسلسل وإطلاق سلسلة من أوامر التعرف.

المخاطر التي تتعرض لها المنظمات والتأثيرات المحتملة

إن اختراق خادم WSUS يسمح للمهاجم التحرك بشكل جانبي وتصعيد الامتيازاتمع وجود خطر إضافي يتمثل في التلاعب بتوزيع التحديثات. ويحذر محللون من شركات مختلفة من احتمال حدوث ذلك. الهجوم على سلسلة التوريد الداخلية إذا تم نشر الثنائيات الضارة كتصحيحات شرعية.

وفي الحوادث التي تم التحقيق فيها، لوحظ PowerShell وcmd.exe تشغيل الأوامر لتحديد المستخدمين، وحصر حسابات المجال، واستخراج تكوين الشبكة، مع التسرب إلى نقاط النهاية البعيدة تحت سيطرة المهاجمين.

توصيات التخفيف الفورية

بالنسبة للبيئات في إسبانيا وبقية أوروبا، يوصى بإعطاء الأولوية لـ النشر العاجل للتصحيح خارج النطاق على جميع الخوادم ذات دور WSUS. إذا لم يكن التحديث ممكنًا فورًا، فطبّق إجراءات التخفيف وخطط لفترة الصيانة في أقرب وقت ممكن.

  • تطوير إلى الإصدارات المصححة وإعادة تشغيل الخادم.
  • تعطيل مؤقتا دور WSUS إذا لم يكن حاسما في ذلك الوقت.
  • حاجز على منافذ جدار الحماية المضيفة 8530/8531 (وليس فقط على المحيط).
  • الحد من التعرض من WSUS إلى الشبكة الداخلية ومراجعة التجزئة.

لا تتراجع عن أي من هذه تدابير مؤقتة حتى اكتمال تثبيت التصحيح. من الجيد أيضًا مراجعة سطح الهجوم: لا ينبغي أن يكون WSUS مكشوفة علناً على الانترنت

المؤشرات والعلامات التي يجب الانتباه لها

في النشاط الذي لاحظته الفرق المختلفة، سعى المهاجمون التعرف على النطاق وبيئة الشبكة، مع تنفيذ أوامر مثل whoami وnet user /domain وipconfig /all وإرسال النتائج إلى خطافات الويب عن بعد.

مراجعة سجلات IIS/WSUS بحثًا عن أخطاء متعددة مكالمات POST غير العادية إلى خدمات الويب، ظهور العمليات الفرعية لـ عامل من IIS (w3wp.exe) أو من WSUS (wsusservice.exe)، و تحميلات PowerShell في Base64 بدأت بهذه العمليات.

ما هو WSUS ولماذا يعد هدفًا جذابًا؟

يسمح WSUS للمسؤولين بـ مركزية وتحكم تحديثات منتجات مايكروسوفت على شبكات الشركات. دورها الموثوق يجعلها نقطة واحدة عالية التأثير:من خلال اختراقه، يستطيع المهاجم التأثير بصمت على عدد كبير من أجهزة الكمبيوتر.

بسبب طبيعتها وكثرة استخدامها لا يحظى بنفس الاهتمام على عكس الأنظمة الأخرى المعرضة للخطر، قد يكون نظام WSUS قديمًا أو ضعيف التجزئة. هذا، بالإضافة إلى استغلال منخفض التعقيد، يزيد بشكل كبير من خطر المخاطر التشغيلية.

الجمع بين ثغرة أمنية حرجة مع أدلة عامة على المفهوم، تم اكتشاف الاستغلال بالفعل والسطح الذي يكون في بعض الأحيان أكثر انفتاحًا من الموصى به يتطلب اتخاذ إجراء سريع: تطبيق التصحيحات، قم بإغلاق متجهات التعرض وزيادة اليقظة على خوادم WSUS أثناء استمرار موجة المحاولات.

تقدم شركة Microsoft عامًا إضافيًا من الترقيات المجانية لنظام التشغيل Windows 10 في أوروبا.
المادة ذات الصلة:
مايكروسوفت تمدد تحديثات Windows 10 المجانية في أوروبا