اختتمت مايكروسوفت عام 2025 بإصدار حزمة إصلاحات أمنية تعالج 56 ثغرة في منتجاتها المختلفة ضمن نظام ويندوز، من بينها ثغرة يجري استغلالها فعليًا، إضافة إلى ثغرتين من نوع يوم‑الصفر. وتشمل الثغرات المصححة ثلاثًا مصنّفة “حرجة” و53 “مهمة”، وتتوزع بين رفع الامتيازات، وتنفيذ الشيفرة عن بُعد، وكشف المعلومات، وحرمان الخدمة، وانتحال الهوية.
وبحسب بيانات Fortra، بلغ إجمالي الثغرات التي عالجتها مايكروسوفت خلال 2025 نحو 1,275 ثغرة، وهو العام الثاني على التوالي الذي تتجاوز فيه الشركة حاجز الألف CVE.
كما شملت التحديثات إصلاح 17 ثغرة في متصفح Edge المبني على Chromium، بينها ثغرة انتحال في نسخة iOS.
ثغرة مفعّلة في الهجمات: CVE‑2025‑62221
الثغرة الأخطر في هذه الدفعة هي CVE‑2025‑62221 (درجة 7.8)، وهي ثغرة Use‑After‑Free في مكوّن Windows Cloud Files Mini Filter Driver، تتيح لمهاجم يمتلك وصولًا محدودًا رفع امتيازاته إلى مستوى SYSTEM.
ويُستخدم هذا المكوّن في خدمات مثل OneDrive وGoogle Drive وiCloud، لكنه جزء أساسي من ويندوز حتى دون تثبيت تلك التطبيقات. ورغم عدم وضوح كيفية استغلال الثغرة في الهجمات، فإن نجاحها يتطلب وصولًا أوليًا عبر التصيّد أو استغلال ثغرة أخرى.
وقد أدرجت وكالة الأمن السيبراني الأمريكية CISA الثغرة ضمن كتالوج الثغرات المستغلة فعليًا (KEV)، مع إلزام الوكالات الفيدرالية بتطبيق التحديث قبل 30 ديسمبر 2025.
ثغرتا يوم‑الصفر: PowerShell وGitHub Copilot
تشمل الثغرات الجديدة:
- CVE‑2025‑54100 (درجة 7.8) ثغرة حقن أوامر في PowerShell تتيح تنفيذ شيفرة محليًا عند تشغيل أوامر مثل Invoke‑WebRequest بمحتوى خبيث.
- CVE‑2025‑64671 (درجة 8.4) ثغرة حقن أوامر في GitHub Copilot لبيئة JetBrains، مرتبطة بسلسلة ثغرات IDEsaster التي تستغل قدرات الوكلاء الذكيين داخل بيئات التطوير.
وتعتمد هذه الهجمات على حقن التعليمات داخل الوكلاء الذكيين (Cross Prompt Injection)، حيث تُعدّل النماذج نفسها محتوى الأوامر بناءً على ملفات المشروع أو بيانات MCP، ما يسمح بتجاوز قوائم السماح وتنفيذ أوامر غير مصرح بها.
وقد تبيّن أن عدة بيئات تطوير أخرى معرضة لهجمات مشابهة، مثل Cursor وJetBrains Junie وGemini CLI وWindsurf وRoo Code، إضافة إلى GitHub Copilot في VS Code.
موجة تحديثات واسعة من شركات أخرى
إلى جانب مايكروسوفت، أصدرت عشرات الشركات تحديثات أمنية خلال الأسابيع الماضية لمعالجة ثغرات متعددة، من بينها:
Adobe، AWS، AMD، Arm، ASUS، Atlassian، Bosch، Broadcom، Canon، Cisco، Citrix، Dell، Django، Drupal، F5، Fortinet، GitLab، Google (Android وChrome وPixel)، HP، IBM، Intel، Ivanti، Lenovo، MediaTek، MongoDB، Mozilla Firefox، NVIDIA، OPPO، Qualcomm، React، Samsung، SAP، Siemens، SolarWinds، Splunk، Synology، TP‑Link، WatchGuard، Zoom، Zyxel، إضافة إلى توزيعات لينكس المختلفة.
أهمية التحديثات في ظل تصاعد الهجمات
تؤكد هذه الدفعة من الإصلاحات أن الثغرات في منتجات مايكروسوفت وبقية الشركات لا تزال هدفًا رئيسيًا للجهات الخبيثة، خصوصًا تلك التي تتيح رفع الامتيازات أو تنفيذ الشيفرة عن بُعد. ويُعد تطبيق التحديثات فور صدورها خطوة أساسية لحماية الأنظمة من الهجمات المتقدمة التي تستغل هذه الثغرات ضمن سلاسل اختراق معقدة.
