أصدرت مايكروسوفت تحديثات أمنية خارج جدول التصحيحات لإصلاح ثغرة خطيرة في Windows Server Update Service (WSUS)، بعد أن أصبح هناك استغلال فعلي لها في البرية مع توفر كود إثبات مفهوم (PoC). الثغرة تحمل المعرف CVE-2025-59287 وتُقيَّم بدرجة خطورة 9.8 (CVSS)، وهي عيب تنفيذ أوامر عن بُعد ناشئ عن تسلسل كائنات غير آمن (unsafe deserialization) داخل مكونات WSUS.
طبيعة الخلل وتأثيره التقني
تنتج المشكلة عن سلوك تسلسل (deserialization) لبيانات غير موثوقة في WSUS يسمح لمهاجم غير مصدق بإرسال حدث مُصنَّع يؤدي إلى تنفيذ كود عن بُعد. بحسب باحثي HawkTrace، تنشأ الثغرة من تسلسل AuthorizationCookie بعد فك تشفيره باستخدام AES-128-CBC ثم تمريره إلى BinaryFormatter دون تحقق من نوع الكائن، ما يمكّن المهاجم من تنفيذ أوامر بامتيازات SYSTEM. تجدر الملاحظة أن الخلل لا يؤثر على خوادم Windows التي لا تُشغِّل دور WSUS Server Role.
استغلال مبكر وإجراءات التخفيف الموصى بها
أبلغت جهات أمنية مثل Eye Security وNCSC هولندا عن ملاحظات عن استغلال في البرية بتاريخ 24 أكتوبر 2025؛ حيث رصدت Eye Security تنفيذ ملف .NET مُشفَّر Base64 يستخدم رؤوس طلب HTTP باسم “aaaa” لتمرير أوامر يتم تنفيذها عبر cmd.exe لتفادي القيد في سجلات الطلبات. كما رصدت شركة Huntress محاولات مسح واستهداف لنُسخ WSUS المعرضة على المنافذ الافتراضية 8530/TCP و8531/TCP بدءًا من 2025-10-23 23:34 UTC.
مايكروسوفت أصدرت تحديثًا خارجيًا يغطي نسخ Windows Server المدعومة (Windows Server 2012/2012 R2/2016/2019/2022 وWindows Server 2025 ونسخة Server Core 23H2)، وطلبت إعادة تشغيل الأنظمة بعد تثبيت التصحيح. كبدائل مؤقتة لحماية الأنظمة إلى حين التحديث، تنصح الشركة باتّباع أحد الإجراءين التاليين وعدم إلغائهما قبل تطبيق التحديث:
-
تعطيل دور WSUS Server Role إذا كان مفعلًا.
-
حظر حركة الوارد على المنافذ 8530 و8531 في جدار الحماية الخاص بالمضيف.
تكتيكات الاستغلال والأدلة العملية
تقنيات الاستغلال تضمنت إرسال طلبات POST مُصنَّعة إلى خدمات ويب WSUS لاستدعاء تسلسل ضار يؤدي إلى إطلاق عمليات cmd.exe وPowerShell، مما يسمح بتنزيل وتشغيل حمولة PowerShell مُشفّرة Base64 تهدف إلى استقصاء الشبكة، جمع معلومات عن الخوادم والمستخدمين، ثم تسريب النتائج إلى عناوين ويب تسيطر عليها الجهات المهاجمة عبر webhook[.]site. وأكدت مايكروسوفت أن التحديث الأولي أعيد إصداره بعد اكتشاف أنه لم يخفف المشكلة بصورة كاملة، وأن العملاء الذين ثبتوا آخر التحديثات محميون بالفعل.
ضرورة السرعة والامتثال التنظيمي
مع توفر PoC ووقوع استغلالات مثبتة، من الضروري تطبيق التصحيح فورًا للحد من المخاطر. أدرجت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) الثغرة في قائمة Known Exploited Vulnerabilities (KEV)، ما يفرض على الوكالات الفيدرالية الأمريكية معالجتها بحلول 14 نوفمبر 2025.
