حذر باحثون في الأمن السيبراني من حملة استغلال متسارعة تستهدف خوادم Microsoft Windows Server Update Services (WSUS)، بعد الكشف عن ثغرة حرجة تتيح تنفيذ تعليمات برمجية عن بعد والسيطرة الكاملة على بيئات الشبكات المؤسسية.
وصف الباحثون الثغرة، التي تحمل الرمز CVE-2025-59287، بالحرجة وفق تصنيف CVSS 3.1 بدرجة 9.8، وتؤثر على الإصدارات التي تسبق 10.0.20348.2000. ويكمن أصل المشكلة في خلل متعلق بعملية deserialization ضمن آلية الموافقة على التحديثات داخل النظام، ما يسمح للجهات المهاجمة بحقن تعليمات ضارة وتنفيذها دون الحاجة إلى مصادقة.
2800 خادم مكشوف ونشاط استغلال متصاعد
ابتداء من 27 أكتوبر 2025، أظهرت بيانات الرصد العالمية التي جمعتها شركة ShadowPeak وجود ما لا يقل عن 2800 خادم WSUS مكشوف على الإنترنت عبر المنافذ 8530 و8531، معظمها في أميركا الشمالية وأوروبا. ورغم أن جميعها ليست بالضرورة معرضة للاستغلال، فإن حجم الانكشاف يعكس اتساع رقعة الخطر في البيئات المؤسسية.
تم الكشف عن نموذج إثبات المفهوم (PoC) للثغرة على منتديات القرصنة بعد أيام قليلة من نشر Microsoft إرشادات التحديث في 15 أكتوبر، ما أدى إلى ارتفاع حاد في محاولات الاستغلال. وأكد متحدث باسم شركة ShadowPeak أن محاولات الاستغلال ارتفعت بشكل كبير منذ نشر الكود.
أساليب الاستغلال والتأثير الواقعي
يعمد المهاجمون إلى استغلال الثغرة ضمن سلسلة هجوم تشمل تحركات جانبية داخل الشبكة، مستهدفين خوادم WSUS التي تدير تحديثات أنظمة Windows لمئات الأجهزة. وبمجرد السيطرة على الخادم، يمكن للمهاجمين تمرير تحديثات خبيثة، أو تسريب بيانات حساسة، أو تثبيت أبواب خلفية دائمة في الأنظمة المؤسسية.
تشمل المؤشرات الأولية للهجمات تسجيلات غير معتادة في معرفات الأحداث 10016 و20005 ضمن عارض الأحداث، إضافة إلى حركة مرور غير مألوفة نحو واجهات WSUS. وجرى تسجيل حادث بارز في شركة مالية أميركية متوسطة الحجم في 23 أكتوبر، حيث استغل المهاجمون الثغرة للوصول إلى بيئة Active Directory الداخلية، ما تسبب بانقطاع مؤقت للخدمات.
ورغم إصدار Microsoft لتحديث عاجل ضمن نشرة أكتوبر الأمنية، تشير بيانات ShadowPeak إلى أن 40% فقط من الخوادم أظهرت دلائل على تطبيق التصحيح، في حين لا يزال الباقي مكشوفاً. ويضاعف هذا التأخير مخاطر الاختراق، خصوصاً في بيئات التشغيل السحابية الهجينة التي تعرض منافذ HTTP وHTTPS للإنترنت.
تهديدات إضافية من مجموعات برامج الفدية
يحذر الخبراء من أن خوادم WSUS المهملة في البيئات القديمة تشكل أهدافاً مثالية لعصابات الفدية مثل LockBit 3.0، التي أدرجت الثغرة الجديدة ضمن نقاشاتها في مواقع التسريبات المظلمة. ويمكن لهذه المجموعات استغلال الخلل لتثبيت برمجيات تشفير أو استغلال الوصول إلى الشبكات الداخلية.
تدابير الحماية والتوصيات الفنية
أوصت Microsoft المؤسسات بتطبيق آخر التحديثات التراكمية فوراً، وتقييد الوصول إلى منافذ WSUS عبر جدران الحماية لتقتصر على شبكات VPN الداخلية. كما دعت إلى استخدام أدوات الفحص مثل Nessus أو النصوص المخصصة لرصد التعرض للثغرة، بالإضافة إلى تفعيل أنظمة الكشف عن anomalous deserialization في حلول الحماية الطرفية.
وأكدت المحللة الأمنية إلينا فاسكيز أن الأمر لا يتعلق فقط بتثبيت تحديث، بل بضرورة مراجعة خوادم التحديثات بشكل دوري والتأكد من أنها لا تزال ضمن المعايير الأمنية المطلوبة.
مع استمرار محاولات المسح والاستغلال على نطاق واسع، تعد الثغرة مؤشراً على هشاشة البنى التحتية الخاصة بخوادم التحديث التي تشكل العمود الفقري لصيانة الأنظمة. ومع بقاء أكثر من نصف الخوادم دون تحديث، يواجه مسؤولو الأمن السيبراني سباقاً مع الزمن لتأمين بيئاتهم قبل أن تتحول الهجمة إلى موجة اختراقات متسلسلة.
