مايكروسوفت تؤكد استغلال ثغرة يوم الصفر في خدمة مدير اتصال الوصول عن بعد في ويندوز

أكدت شركة مايكروسوفت رصد استغلال نشط لثغرة حرجة من نوع يوم الصفر في خدمة Windows Remote Access Connection Manager (RasMan)، تتيح للمهاجمين تصعيد الصلاحيات إلى مستوى النظام والسيطرة على الأجهزة المستهدفة بالكامل.

نتجت الثغرة، التي تحمل الرمز CVE-2025-59230، عن ضعف في آليات التحكم بالوصول داخل الخدمة، ما أتاح للمستخدمين ذوي الصلاحيات المحدودة الحصول على امتيازات عليا. وأفصحت الشركة عنها في 14 أكتوبر 2025، لتشمل عدداً من إصدارات ويندوز، وسط تقارير عن استهداف فعلي لبيئات مؤسسية من قبل جهات تهديد متقدمة.

توجد المشكلة في خدمة RasMan المسؤولة عن إدارة اتصالات الوصول البعيد مثل الشبكات الافتراضية الخاصة VPN والاتصالات الهاتفية Dial-up، إذ يمكن للمهاجم المحلي المصرح له استغلال ضعف التحقق من الأذونات لتعديل إعدادات الخدمة وتجاوز قيود الصلاحيات المعتادة.

وتقيّم مايكروسوفت الثغرة بدرجة خطورة عالية تبلغ 7.8 على مقياس CVSS v3.1، إذ تتطلب وصولاً محلياً فقط وصلاحيات منخفضة، ما يجعلها هدفاً مثالياً لتصعيد الصلاحيات في مراحل ما بعد الاختراق.

آلية الاستغلال المحتملة

لم تنشر أي أدوات استغلال علنية حتى الآن، إلا أن باحثين أمنيين أشاروا إلى احتمالية تنفيذ الهجوم عبر التلاعب بسجل النظام أو حقن مكتبات DLL داخل عمليات RasMan.
وقد يستغل المهاجم ملفات قابلة للكتابة ضمن مجلد الخدمة في المسار C:\Windows\System32\ras لزرع كود خبيث ينفذ تلقائياً عند إعادة تشغيل الخدمة، ما يمنحه وصولاً كاملاً للنظام.
وتعد هذه الثغرة جزءاً من سلاسل الهجمات المركبة التي تبدأ عادةً برسائل تصيد أو تطبيقات غير محدثة، قبل الانتقال إلى مرحلة الحركة الجانبية داخل الشبكة.

تفاصيل الثغرة التقنية

فيما يلي أبرز خصائص الثغرة وفق تصنيف CVE-2025-59230:

• درجة الخطورة: 7.8 (عالية)
  
• نقطة الدخول: محلية (AV:L)
  
• التعقيد: منخفض (AC:L)
  
• الصلاحيات المطلوبة: منخفضة (PR:L)
  
• تفاعل المستخدم: غير مطلوب (UI:N)
  
• تأثير السرية والنزاهة والتوافر: مرتفع (C:H / I:H / A:H)
  
• نضج الاستغلال: وظيفي (E:F) — استغلالات فعالة متداولة بالفعل
  

وتشمل الأنظمة المتأثرة: Windows 10 (ابتداءً من الإصدار 1809)، وWindows 11، وWindows Server من 2019 حتى 2025.

توصيات عاجلة من مايكروسوفت

حثت مايكروسوفت جميع المستخدمين، ولا سيما المؤسسات، على تطبيق تحديثات أكتوبر 2025 فوراً، مؤكدة أن الأجهزة غير المحدثة تواجه مخاطر مرتفعة من هجمات تقودها مجموعات مدعومة من دول أو عصابات برامج الفدية.

وأوصت الشركة بمراجعة صلاحيات المستخدمين المحليين وتفعيل حلول الكشف عن السلوكيات الشاذة لرصد أي أنشطة غير مألوفة ضمن خدمات RasMan.