أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) توجيهاً ملزماً للجهات التنفيذية المدنية الفيدرالية بضرورة المعالجة الفورية لثغرة أمنية في نظام التشغيل Windows، عقب إدراجها في قائمة الثغرات المعروفة المستغلة (KEV).
تحمل هذه الثغرة المعرف (CVE-2025-29824 بتقييم CVSS عند 7.8)، وتؤثر في مكون نظام ملفات السجل المشترك (CLFS) في Windows، المسؤول عن إدارة السجلات التي تعتمد عليها تطبيقات وخدمات النظام.
وتأتي هذه الخطوة التصحيحية نتيجة تأكيد وقوع هجمات “يوم صفر” (Zero-day)، التي تستهدف نقاط الضعف البرمجية قبل توفر الحلول الأمنية أو تطبيق التحديثات. وتصنف Microsoft هذه الثغرة ضمن فئة “تصعيد الصلاحيات”؛ إذ تمنح المهاجم ذي الوصول المحدود قدرة على رفع امتيازاته إلى مستوى SYSTEM، وهو أعلى مستويات التحكم في بيئة Windows، ما يتيح له تنفيذ أوامر واسعة النطاق والسيطرة الكاملة على الجهاز المستهدف.
يُذكر أن الشركة كانت قد طرحت التحديثات الأمنية في 8 أبريل 2025، بعد رصد نشاط هجومي منتقى استهدف قطاعات محددة عالمياً.
استراتيجيات الهجوم العابرة للحدود وتوظيف برمجية PipeMagic
كشفت استخبارات التهديدات في Microsoft عن رصد نشاط هجومي تقوده مجموعة Storm-2460، استهدف مؤسسات حيوية شملت قطاعي العقارات وتقنية المعلومات في الولايات المتحدة، والقطاع المالي في فنزويلا، وشركة برمجيات في إسبانيا، وصولاً إلى قطاع التجزئة في المملكة العربية السعودية. اعتمد المهاجمون على برمجية PipeMagic كأداة أساسية لنشر الاستغلال وتثبيت برمجيات الفدية بعد إحكام السيطرة على الأجهزة المستهدفة.
يبدأ مسار الهجوم باستغلال أداة certutil المدمجة في النظام لتنزيل ملفات خبيثة من مواقع مخترقة، يتبعها تشغيل ملف MSBuild يتضمن حمولة مشفرة صُممت خصيصاً لتجاوز أنظمة المراقبة التقليدية. وبمجرد فك تشفير هذه الحمولة، يتم تفعيل برمجية PipeMagic التي تمهد الطريق لاستغلال الثغرة لرفع الصلاحيات، ما يمنح المهاجمين موطئ قدم ثابتاً داخل الشبكة ويسمح لهم بالتحرك العرضي لجمع بيانات الاعتماد ونشر برمجيات الفدية على نطاق واسع.
ربطت التقارير التقنية هذه الأنشطة بعائلة RansomEXX المعروفة باستهداف البيئات المؤسسية الكبرى. ومن الناحية الفنية، أظهرت البيانات أن أنظمة Windows 11 الإصدار 24H2 أبدت حصانة ضد هذا الاستغلال رغم وجود الثغرة، في حين واجهت أنظمة Windows 10 LTSB 2015 تأخراً في وصول بعض التحديثات الأمنية المعالجة.
أهمية إدارة التحديثات الأمنية في مواجهة التهديدات المتطورة
تؤكد وكالة CISA أن إدراج الثغرة في قائمة الثغرات المعروفة المستغلة (KEV) ينقلها من حيز الاحتمالات التقنية إلى فئة التهديدات العملية القائمة. ورغم أن هذا الإلزام يستهدف الجهات الفيدرالية الأمريكية بشكل مباشر، إلا أن التوصيات تمتد لتشمل المؤسسات الخاصة والجهات الدولية، داعية إياها لاتباع الجداول الزمنية ذاتها في عمليات التحديث الأمني.
أثبتت هذه الحادثة أن إدارة الثغرات وتحديث الأنظمة لم تعد مجرد إجراء روتيني، بل ضرورة أمنية قصوى لتقليص فرص تحول الاختراق الأولي إلى كارثة معلوماتية. لذا، يتطلب الوضع الراهن مراقبة دقيقة لاستخدام أدوات النظام الشرعية، مثل certutil وMSBuild، مع ضرورة التحقق المستمر من مؤشرات الاختراق (IoCs) المرتبطة ببرمجيات PipeMagic وRansomEXX، لضمان سلامة واستقرار البنية التحتية الرقمية.
