أصدرت مايكروسوفت مجموعة تصحيحات أمنية لسد 67 ثغرة، بينها ثغرة من فئة “zero-day” في نظام WebDAV (الإصدار والتعديل الموزع عبر الويب) تم استغلالها فعليًا في هجمات إلكترونية.
من بين الثغرات المُصلحة، تم تصنيف 11 منها على أنها حرجة و56 كـ مهمة، وتشمل 26 ثغرة تنفيذ أكواد عن بُعد، و17 ثغرة تسريب معلومات، و14 ثغرة تصعيد صلاحيات.
جاءت هذه التحديثات بالإضافة إلى 13 ثغرة أُصلحت في متصفح Edge المبني على كروميوم منذ تحديثات “الثلاثاء التصحيحي” الشهر الماضي.
ثغرة WebDAV الخطيرة (CVE-2025-33053)
الثغرة المستغلة حاليًا تسمح بتنفيذ أكواد ضارة عن بُعد عبر WebDAV (بتقييم 8.8/10 على مقياس CVSS)، حيث يتم خداع المستخدمين للنقر على رابط مُعد خصيصًا.
أشارت مايكروسوفت إلى أن باحثي Check Point (ألكسندرا جوفمان وديفيد درايكر) هما من اكتشفا الثغرة. وتُعد هذه أول ثغرة “zero-day” تُكتشف في معيار WebDAV.
جهة الهجوم: “ستيلث فالكون”
وفقًا لتقرير منفصل، نُسب استغلال الثغرة إلى مجموعة تهديدات تُعرف باسم “ستيلث فالكون” (أو FruityArmor)، والتي سبق أن استخدمت ثغرات “zero-day” في ويندوز لهجمات تجسسية، منها هجوم عام 2023 باستخدام برمجية “ديدغليف” ضد جهات في قطر والسعودية.
قال الباحثون إن الهجمات الحالية “مستهدفة بدقة” وليست عشوائية، حيث تستغل ملف اختصار إنترنت (URL) لتنفيذ برمجيات خبيثة من خادم WebDAV يسيطر عليه المهاجمون.
سلسلة الهجوم وتفاصيل البرمجيات الخبيثة
في إحدى الهجمات التي استهدفت شركة دفاعية في تركيا، استخدم المهاجمون الثغرة لنشر برمجية “هوروس إيجنت”، وهي أداة تجسس مبنية على إطار Mythic للتحكم والسيطرة (C2). تم إرسال الحمولة الخبيثة كمرفق في رسالة تصيد احتيالي.
تعمل البرمجية الخبيثة عن طريق:
-
استغلال أداة تشخيصية شرعية لـ Internet Explorer (iediagcmd.exe).
-
تنزيل وثيقة PDF وهمية مع تنفيذ “هوروس لودر” الذي يُحمل البرمجية الخبيثة الرئيسية.
-
استخدام تقنيات تشفير السلاسل النصية وتعقيد تحليل الشيفرة لإعاقة الاكتشاف.
تطور أدوات “ستيلث فالكون”
أظهرت المجموعة تطورًا في أدواتها، مثل:
-
“كريدينشال دمبر”: لسرقة بيانات الاعتماد من وحدات التحكم في النطاق (Domain Controllers).
-
“باكدور سلبي”: يستقبل أوامر من المهاجمين لتنفيذ أكواد ضارة.
-
“كي لوغر”: يسجل ضغطات المفاتيح ويخزنها في ملف مؤقت.
استجابة الجهات الأمنية
أضافت وكالة الأمن السيبراني الأمريكية (CISA) الثغرة إلى قائمة الثغرات المستغلة، مع طلب تطبيق التصحيحات قبل 1 يوليو 2025.
ثغرات أخرى خطيرة
من أبرز الثغرات التي أصلحتها مايكروسوفت:
-
تصعيد صلاحيات في “Power Automate” (CVE-2025-47966 – تقييم 9.8/10).
-
ثغرات في نظام ملفات السجلات (CLFS) وخدمة Netlogon وعميل SMB في ويندوز.
-
ثغرة تنفيذ أكواد عن بُعد في خدمة “KDC Proxy” الخاصة بـ Kerberos.
ثغرة تجاوز “Secure Boot”
أصلحت مايكروسوفت أيضًا ثغرة (CVE-2025-3052) تسمح بتجاوز أمان Secure Boot وتنفيذ شيفرات غير موقعة، مما قد يتيح تنفيذ برمجيات خبيثة حتى قبل تحميل النظام.
