MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Microsoft just patched 67 vulnerabilities



مايكروسوفت تصدر تحديثات أمان لإصلاح 67 ثغرة بينها ثغرة يوم صفر في WEBDAV تم استغلالها فعليًا

أصدرت مايكروسوفت تحديثات أمنية لإصلاح 67 ثغرة، من بينها ثغرة "يوم صفر" في بروتوكول Web Distributed Authoring and Versioning (WEBDAV)، والتي تم تأكيد استغلالها في الهجمات الواقعية.

من بين الثغرات المكتشفة، تم تصنيف 11 على أنها حرجة و56 على أنها هامة. وتشمل هذه الثغرات 26 ثغرة تنفيذ أوامر عن بعد، و17 ثغرة كشف معلومات، و14 ثغرة تصعيد صلاحيات.

تأتي هذه التحديثات بالإضافة إلى 13 خللًا تم إصلاحه في متصفح Edge المبني على Chromium منذ آخر تحديث يوم الثلاثاء الأمني.

الثغرة المستغلة فعليًا (CVE-2025-33053) مرتبطة بتنفيذ أوامر عن بُعد في WebDAV وتُفعّل عندما يتم خداع المستخدم للنقر على رابط مصمم خصيصًا.

أُرجع الفضل في اكتشاف الثغرة لباحثين من شركة Check Point، وأفادت الشركة أن CVE-2025-33053 هي أول ثغرة يوم صفر تُكتشف في معيار WebDAV.

وفقًا لتقرير منفصل، نُسب استغلال هذه الثغرة إلى مجموعة Stealth Falcon (المعروفة أيضًا باسم FruityArmor)، والتي لديها سجل طويل في استغلال ثغرات يوم صفر في أنظمة ويندوز. سبق للمجموعة استخدام باب خلفي يُدعى Deadglyph في حملة تجسس استهدفت كيانات في قطر والسعودية عام 2023.

رغم أن Citizen Lab سبق أن ربط المجموعة بالإمارات، إلا أن Check Point لم تؤكد أي ارتباط بدولة معينة، مشيرة إلى أن تركيزها منصب على تكتيكات المجموعة لا انتماءاتها.

قالت Check Point: "الهجوم استخدم ملف .url يستغل ثغرة يوم صفر (CVE-2025-33053) لتنفيذ برمجية خبيثة من خادم WebDAV تسيطر عليه المجموعة." وأضافت أن استغلال الثغرة يتم عبر التلاعب بدليل العمل.

في سلسلة الهجوم التي رُصدت ضد شركة دفاعية غير معلنة في تركيا، استُخدمت الثغرة لنشر برمجية Horus Agent، وهي غرسة مخصصة مبنية على إطار العمل Mythic للتحكم والسيطرة. ويُعتقد أن الملف الضار المرفق كان ملف URL مضغوط أُرسل عبر رسالة تصيّد.

الملف يطلق iediagcmd.exe، وهي أداة تشخيص تابعة لإنترنت إكسبلورر، والتي بدورها تشغل الحمولة Horus Loader، المسؤولة عن عرض مستند PDF وهمي وتنفيذ Horus Agent.

تقول Check Point: "البرمجية مكتوبة بلغة C++، ولا تتشارك الكثير مع وكلاء Mythic المعروفين، باستثناء بعض الأجزاء العامة في منطق الاتصال بـ Mythic."

تشمل أساليب الحماية تشفير النصوص وتغيير تدفق التنفيذ (Control Flow Flattening) لتصعيب التحليل. ويقوم الباب الخلفي بالاتصال بخادم خارجي لتنفيذ مهام مثل جمع معلومات النظام، استعراض الملفات، تحميلها، وحقن شيفرة في العمليات الجارية.

تُعتبر Horus Agent تطويرًا لبرمجية Apollo مفتوحة المصدر، التي استخدمتها Stealth Falcon سابقًا بين 2022 و2023، لكنها الآن مكتوبة بلغة C++ مع تحسينات واضحة.

النسخة الجديدة تشمل ميزات بصمة رقمية متقدمة للمستخدم المصاب، وتُبقي حجم البرمجية صغيرًا نسبيًا (120 كيلوبايت) لتجنب الاكتشاف.

لاحظت Check Point استخدام أدوات لم تُوثق سابقًا مثل:

  • أداة سرقة بيانات الاعتماد من خادم Domain Controller.
  • باب خلفي يستمع للطلبات وينفذ تعليمات برمجية.
  • أداة Keylogger مخصصة تسجل ضغطات المفاتيح في ملف داخل C:/windows/temp/~TN%LogName%.tmp.

Keylogger لا يتضمن آلية اتصال بـ C2، ما يرجح عمله مع مكون آخر يقوم بسحب البيانات.

وقالت Check Point إن المجموعة تستخدم أدوات حماية وتشفير تجارية معدلة خصيصًا لكل حمولة، ما يزيد من صعوبة تتبع وتحليل أدواتهم.

دفعت خطورة الثغرة CVE-2025-33053 وكالة الأمن السيبراني الأمريكية CISA لإضافتها إلى قائمة الثغرات المستغلة فعليًا، وطالبت الوكالات الفيدرالية بتطبيق الإصلاح قبل 1 يوليو 2025.

قال مايك والترز، رئيس Action1: "ما يجعل هذه الثغرة مقلقة هو الانتشار الواسع لـ WebDAV في بيئات المؤسسات لمشاركة الملفات عن بُعد."

الثغرة الأشد خطورة التي تم إصلاحها تتعلق بتصعيد صلاحيات في Power Automate (CVE-2025-47966) بدرجة CVSS 9.8، لكنها لا تتطلب تدخل المستخدم.

ثغرات أخرى بارزة:

  • CVE-2025-32713 في Common Log File System Driver
  • CVE-2025-33070 في Netlogon
  • CVE-2025-33073 في Windows SMB Client (الثغرة الوحيدة المعروفة علنًا وقت النشر)
  • CVE-2025-33071 في Windows KDC Proxy Service

أكد باحثو Synacktiv أن الثغرة CVE-2025-33073 تسمح بتنفيذ أوامر عن بعد كمستخدم SYSTEM عبر SMB، عند غياب توقيع SMB.

تتطلب السلسلة أن يتصل الضحية بخادم SMB ضار، مما يُمكّن المهاجم من تنفيذ هجوم Kerberos relay يعيد التذاكر إلى النظام ذاته.

قال باحث من Rapid7 إن استغلال CVE-2025-33071 يعتمد على وجود ثغرة تشفير وسباق في التنفيذ.

أضاف أن بروكسي KDC يُستخدم لتسهيل الاتصال بين العملاء غير الموثوقين وخوادم Kerberos، ما يجعل البروكسي نفسه عرضة للهجمات.

أخيرًا، عالجت مايكروسوفت أيضًا ثغرة تجاوز Secure Boot (CVE-2025-3052)، والتي تسمح بتشغيل برمجيات غير موثوقة قبل إقلاع النظام.

الثغرة موجودة في تطبيق UEFI موقع بشهادة طرف ثالث من مايكروسوفت، وتسمح بالتعديل على متغير NVRAM بطريقة تتجاوز التحقق من Secure Boot.

قال CERT/CC إن الثغرة تمكن المهاجم من تعديل هياكل حساسة في البرنامج الثابت، ما يسمح بتشغيل شيفرة ضارة قبل تحميل النظام.

مايكروسوفت ليست متأثرة بثغرة Hydroph0bia (CVE-2025-4275)، الموجودة في برنامج InsydeH2O UEFI، والتي تسمح بحقن شهادات رقمية غير محمية في NVRAM.

قال CERT/CC إن استغلال هذه الثغرة يسمح للمهاجم بتشغيل برمجيات خبيثة موقعة بشهادات مزورة أثناء مرحلة الإقلاع.

تحديثات من شركات أخرى

بالإضافة إلى مايكروسوفت، أصدرت العديد من الشركات الأخرى تحديثات أمنية خلال الأسابيع الماضية، منها:

Adobe، AWS، AMD، ARM، Atlassian، Bosch، Broadcom (بما في ذلك VMware)، Canon، Cisco، D-Link، Dell، Drupal، F5، Fortinet، GitLab، Google (Android، Chrome، Cloud)، Hitachi، HP، IBM، Intel، Jenkins، Juniper، Lenovo، Linux (Amazon، Debian، Oracle، Red Hat، SUSE، Ubuntu)، MediaTek، Mozilla، NVIDIA، Palo Alto، QNAP، Qualcomm، Salesforce، Samsung، SAP، Siemens، SonicWall، Splunk، Synology، Trend Micro، Veritas، Zimbra، Zoho وغيرها.