أعلنت شركة مايكروسوفت عن إصدار تحديثات أمنية لمعالجة 56 ثغرة في منتجات نظام التشغيل ويندوز، تشمل ثغرة واحدة تم استغلالها بشكل نشط في الآونة الأخيرة. هذه التحديثات تأتي كجزء من جهود الشركة المستمرة لتعزيز أمن مستخدميها وحماية بياناتهم.
تضمنت الإصلاحات 3 ثغرات مصنفة على أنها “حرجة”، و 53 ثغرة مصنفة على أنها “هامة”. كما أشارت الشركة إلى وجود ثغرتين أخريين معروفتين علناً وقت الإطلاق. تتوزع هذه الثغرات بين 29 ثغرة تتعلق بتصعيد الامتيازات، و 18 ثغرة تتعلق بتنفيذ تعليمات برمجية عن بعد، و 4 ثغرات تتعلق بكشف المعلومات، و 3 ثغرات تتعلق بحجب الخدمة، و ثغرتين تتعلقان بانتحال الهوية.
تحديثات أمن ويندوز لمعالجة الثغرات
شهد عام 2025 إصدار 1,275 تصحيحاً أمنياً (CVEs) من مايكروسوفت، وهو ما يمثل العام الثاني على التوالي الذي تتجاوز فيه الشركة حاجز الألف تصحيح أمني. وتعكس هذه الأرقام حجم التحديات الأمنية المتزايدة والجهود المبذولة لمواكبتها.
إضافة إلى ذلك، قامت مايكروسوفت بمعالجة 17 ثغرة في متصفح Edge، الذي يعتمد على تقنية Chromium، منذ بداية شهر نوفمبر 2025. وشملت هذه الثغرات ثغرة انتحال هوية في نسخة Edge الخاصة بنظام iOS.
الثغرة النشطة وآلية الاستغلال
تُعد الثغرة CVE-2025-62221، ذات درجة خطورة 7.8، هي الثغرة التي تم استغلالها بالفعل. تتعلق هذه الثغرة بخلل في برنامج تشغيل ملفات ويندوز السحابية المصغر (Windows Cloud Files Mini Filter Driver)، مما قد يسمح للمهاجم المصرح له برفع امتيازاته على النظام المحلي ليصل إلى صلاحيات النظام (SYSTEM).
وقد أوضح آدم بارنيت، كبير مهندسي البرمجيات في Rapid7، أن برامج تشغيل عوامل تصفية نظام الملفات، أو “minifilters”، تتصل بمكدس برامج النظام وتتداخل مع الطلبات الموجهة لنظام الملفات، لتوسيع أو استبدال الوظائف الأساسية. وتشمل حالات الاستخدام النموذجية تشفير البيانات، النسخ الاحتياطي الآلي، الضغط الفوري، وتخزين الملفات السحابية.
يُستخدم عامل تصفية الملفات السحابية المصغر بواسطة خدمات مثل OneDrive، Google Drive، و iCloud. وعلى الرغم من ذلك، فإنه يظل مكوناً أساسياً في نظام ويندوز، وبالتالي يكون موجوداً حتى لو لم تكن هذه التطبيقات مثبتة.
حتى الآن، لم يتضح كيفية استغلال هذه الثغرة في البرية أو السياق الدقيق لذلك. إلا أن عملية الاستغلال الناجحة تتطلب من المهاجم الحصول على وصول للنظام المستهدف بوسائل أخرى. وقد تم نسب اكتشاف هذه الثغرة والإبلاغ عنها إلى مركز مايكروسوفت لمكافحة التهديدات (MSTIC) ومركز الاستجابة الأمنية لمايكروسوفت (MSRC).
ووفقاً لمايك وولترز، رئيس ومؤسس مشارك في Action1، يمكن للمهاجم الحصول على وصول منخفض الصلاحيات عبر طرق مثل التصيد الاحتيالي، أو استغلال ثغرات متصفحات الويب، أو ثغرات أخرى معروفة لتنفيذ التعليمات البرمجية عن بعد. بعد ذلك، يمكنه الاستفادة من CVE-2025-62221 للسيطرة الكاملة على النظام.
مع هذا الوصول، يمكن للمهاجم تثبيت مكونات نواة النظام أو إساءة استخدام برامج التشغيل الموقعة لتجاوز الدفاعات والحفاظ على وجوده. ويمكن أن يؤدي ذلك إلى اختراق واسع النطاق للشبكة عند اقترانه بسيناريوهات سرقة بيانات الاعتماد.
دفعت عملية استغلال الثغرة CVE-2025-62221 الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) إلى إضافتها إلى قائمة الثغرات المستغلة المعروفة (KEV)، مما يستوجب على الوكالات الفيدرالية المدنية تطبيق التحديث بحلول 30 ديسمبر 2025.
ثغرات أخرى بارزة
بالإضافة إلى الثغرة النشطة، تم تحديد ثغرتين أخريين تم اكتشافهما حديثاً:
- CVE-2025-54100 (درجة خطورة 7.8): ثغرة حقن أوامر في Windows PowerShell تسمح للمهاجم غير المصرح له بتنفيذ أوامر محلياً.
- CVE-2025-64671 (درجة خطورة 8.4): ثغرة حقن أوامر في GitHub Copilot لبيئة JetBrains، تسمح للمهاجم غير المصرح له بتنفيذ أوامر محلياً.
حول الثغرة الأولى، أوضح أليكس فوفك من Action1 أنها تتعلق بكيفية معالجة PowerShell لمحتوى الويب. تسمح للمهاجم غير المصادق عليه بتنفيذ تعليمات برمجية عشوائية في سياق أمان المستخدم الذي يشغّل أمراً مصمماً بعناية، مثل `Invoke-WebRequest`.
وقال فوفك إن الخطر يصبح كبيراً عند دمج هذه الثغرة مع أنماط الهجوم الشائعة. على سبيل المثال، يمكن للمهاجم استخدام الهندسة الاجتماعية لإقناع مستخدم أو مسؤول بتشغيل مقطع PowerShell باستخدام `Invoke-WebRequest`، مما يسمح للخادم البعيد بإعادة محتوى مصمم بعناية لتشغيل خلل المعالجة، والنتيجة هي تنفيذ أوامر ونشر برمجيات خبيثة.
من الجدير بالذكر أن CVE-2025-64671 تأتي في سياق مجموعة أوسع من الثغرات الأمنية المسماة “IDEsaster”، والتي كشف عنها الباحث الأمني آري مارزوك مؤخراً. تنشأ هذه المشاكل نتيجة لإضافة إمكانيات استباقية إلى بيئات التطوير المتكاملة (IDEs)، مما يعرّض لمخاطر أمنية جديدة.
تستغل هذه الهجمات حقن المطالبات (prompt injections) ضد وكلاء الذكاء الاصطناعي المدمجين في IDEs، وتجمعها مع طبقة IDE الأساسية لنتج عنها كشف معلومات أو تنفيذ أوامر.
وقال مارزوك، الذي يُنسب إليه الفضل في اكتشاف الثغرة والإبلاغ عنها، إن هذا يستغل “سلسلة هجوم قديمة” باستخدام أداة ضعيفة، وليس جزءاً من سلسلة هجوم IDEsaster الجديدة. وبالتحديد، أداة “تنفيذ أمر” قابلة للاختراق يمكن من خلالها تجاوز قائمة السماح المحددة من قبل المستخدم.
وأشار مارزوك أيضاً إلى أن العديد من IDEs كانت عرضة لنفس الهجوم، بما في ذلك Kiro.dev، Cursor، JetBrains Junie، Gemini CLI، Windsurf، و Roo Code. علاوة على ذلك، تم اكتشاف الثغرة نفسها في GitHub Copilot لـ VS Code.
وأوضح كيف برين، مدير أبحاث التهديدات السيبرانية في Immersive، أن الثغرة تسمح بتنفيذ أوامر على الأجهزة المتأثرة عن طريق خداع نماذج اللغة الكبيرة (LLM) لتشغيل أوامر تتجاوز الإجراءات الوقائية، مع إضافة تعليمات في إعدادات “الموافقة التلقائية” للمستخدم.
يمكن تحقيق ذلك من خلال “حقن عبر المطالبات” (Cross Prompt Injection)، حيث لا يتم تعديل المطالبة من قبل المستخدم، بل من قبل وكلاء LLM أثناء صياغتهم لمطالباتهم الخاصة بناءً على محتوى الملفات أو البيانات المسترجعة من خادم بروتوكول سياق النموذج (MCP) الذي اكتسب شعبية مع LLMs القائمة على الوكلاء.
تحديثات أمنية من بائعين آخرين
بالإضافة إلى مايكروسوفت، أصدرت شركات أخرى تحديثات أمنية لمعالجة العديد من الثغرات خلال الأسابيع القليلة الماضية، من بينها:
- Adobe
- Amazon Web Services
- AMD
- Arm
- ASUS
- Atlassian
- Bosch
- Broadcom (بما في ذلك VMware)
- Canon
- Cisco
- Citrix
- CODESYS
- Dell
- Devolutions
- Drupal
- F5
- Fortinet
- Fortra
- GitLab
- Google Android و Pixel
- Google Chrome
- Google Cloud
- Google Pixel Watch
- Hitachi Energy
- HP
- HP Enterprise (بما في ذلك Aruba Networking و Juniper Networks)
- IBM
- Imagination Technologies
- Intel
- Ivanti
- Lenovo
- توزيعات Linux مثل AlmaLinux، Alpine Linux، Amazon Linux، Arch Linux، Debian، Gentoo، Oracle Linux، Mageia، Red Hat، Rocky Linux، SUSE، و Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Firefox و Firefox ESR
- NVIDIA
- OPPO
- Progress Software
- Qualcomm
- React
- Rockwell Automation
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- Splunk
- Synology
- TP-Link
- WatchGuard
- Zoom، و
- Zyxel