ثغرتان في ويندوز يواجهان استغلالاً نشطاً

الثغرة الأولى، المسجلة باسم CVE-2025-9491، هي ثغرة يوم صفر في تنسيق الاختصارات الثنائي لنظام ويندوز التي تم استغلالها منذ عام 2017. اكتشفتها شركة الأمان Trend Micro في مارس، مشيرة إلى استغلالها من قبل ما يصل إلى 11 مجموعة تهديدات مستمرة متقدمة (APT) في نحو 60 دولة، مع تأثر الولايات المتحدة وكندا وروسيا وكوريا بشكل أكبر. استخدمت هذه المجموعات APT، التي غالباً ما ترتبط بدول، الثغرة —التي حددت في البداية باسم ZDI-CAN-25373— لنشر حمولات ما بعد الاستغلال المتنوعة. بعد سبعة أشهر، لم تصدر مايكروسوفت أي تصحيح.

يوم الخميس، أفادت Arctic Wolf باستغلال من قبل المجموعة المرتبطة بصين UNC-6384 ضد أهداف في عدة دول أوروبية. تقوم الهجمات بتسليم برمجية PlugX الخادمة للوصول عن بعد، مع الحفاظ على الثنائي مشفراً بتنسيق RC4 حتى المرحلة النهائية. قالت Arctic Wolf: “اتساع الاستهداف عبر عدة دول أوروبية ضمن إطار زمني مضغوط يشير إما إلى عملية جمع استخبارات منسقة على نطاق واسع أو نشر فرق عملية متوازية متعددة مع أدوات مشتركة لكن استهداف مستقل.” يُقيّم شدة الثغرة بـ7 من 10، ويمكن للمستخدمين التخفيف من المخاطر بتقييد ملفات .lnk من مصادر غير موثوقة عبر إعدادات مستكشف ويندوز.

الثغرة الثانية، CVE-2025-59287، تؤثر على خدمات تحديث خادم ويندوز (WSUS) وتمكن من تنفيذ كود عن بعد بسبب ثغرة في التسلسل. مصنفة بشدة 9.8 ويمكن أن تكون قابلة للانتشار كدودة، تم التعامل معها أولاً في يوم التصحيح في أكتوبر من مايكروسوفت لكنها ثبتت غير كاملة بعد ظهور كود إثبات مفهوم عام. قدم تحديث غير مجدول الأسبوع الماضي إصلاحاً صحيحاً. لاحظت Huntress استغلالاً يبدأ من 23 أكتوبر، بينما أفادت Sophos وEye بنشاط من 24 أكتوبر في بيئات عملاء متعددة عبر الصناعات. أشارت Sophos: “موجة النشاط، التي امتدت لعدة ساعات واستهدفت خوادم WSUS المواجهة للإنترنت، أثرت على عملاء عبر مجموعة من الصناعات ولم تبدو هجمات مستهدفة.” لا يزال غير واضح إذا استخدم المهاجمون إثبات المفهوم العام أو طوروا استغلالاتهم الخاصة.

يُحث المسؤولون على التحقق من الثغرات وتطبيق التصحيحات حيث تتوفر، على الرغم من عدم وجود جدول زمني لـCVE-2025-9491.