أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) ووكالة الأمن القومي (NSA) — بالتعاون مع شركاء دوليين من أستراليا وكندا — توجيهات أمنية عاجلة لتقوية أنظمة Microsoft Exchange Server المحلية (On-Premise) ضد محاولات الاستغلال المتزايدة.
وقالت CISA في بيانها:
“من خلال تقييد الوصول الإداري، وتطبيق المصادقة متعددة العوامل، وفرض إعدادات صارمة لنقل البيانات الآمن، واتباع مبادئ نموذج الأمن القائم على انعدام الثقة (Zero Trust)، يمكن للمؤسسات تعزيز دفاعاتها ضد الهجمات السيبرانية المحتملة بشكل كبير.”
وأشارت الوكالتان إلى أن الأنشطة الخبيثة الموجهة نحو خوادم Microsoft Exchange ما زالت مستمرة، مع تركّز الهجمات على الأنظمة غير المؤمنة أو المهيأة بشكل خاطئ. وأوصت المؤسسات بضرورة إيقاف الخوادم القديمة أو الهجينة بعد الانتقال الكامل إلى Microsoft 365.
أبرز الممارسات الأمنية الموصى بها
شملت التوصيات الجديدة مجموعة من أفضل الممارسات لتأمين خوادم البريد ومكونات النظام الحساسة، أبرزها:
-
الحفاظ على تحديثات الأمان المنتظمة وجدول التصحيحات المستمر.
-
ترحيل خوادم Exchange التي انتهى دعمها.
-
ضمان بقاء خدمة التخفيف الطارئ (Exchange Emergency Mitigation Service) مفعّلة.
-
تطبيق الخطوط الأمنية الأساسية لكل من Exchange Server وWindows وبرامج البريد المتصلة.
-
تمكين برامج مكافحة الفيروسات، وواجهة الفحص المضاد للبرمجيات الخبيثة (AMSI)، وخصائص تقليل سطح الهجوم (ASR)، وAppLocker، وApp Control for Business، وميزات الكشف والاستجابة (EDR)، بالإضافة إلى أدوات مكافحة البريد العشوائي والبرمجيات الضارة المضمنة في Exchange.
-
تقييد الوصول الإداري إلى مركز إدارة Exchange (EAC) وPowerShell البعيد، وتطبيق مبدأ أقل الامتيازات.
-
تعزيز المصادقة والتشفير عبر TLS وHSTS وExtended Protection واستخدام Kerberos وSMB بدلًا من NTLM، وتفعيل المصادقة متعددة العوامل.
-
تعطيل الوصول إلى PowerShell البعيد للمستخدمين في وحدة إدارة Exchange (EMS).
وأكدت الوكالات أن تأمين خوادم Exchange يعد عنصرًا أساسيًا للحفاظ على سرية وسلامة الاتصالات المؤسسية، مشددة على ضرورة تقييم الموقف الأمني باستمرار وتعزيزه لمواكبة تطور التهديدات السيبرانية.
تحذير محدث حول ثغرة WSUS CVE-2025-59287
جاءت الإرشادات الجديدة بعد يوم واحد فقط من تحديث CISA لتحذيرها بشأن الثغرة CVE-2025-59287 — وهي ثغرة خطيرة في مكون Windows Server Update Services (WSUS) قد تؤدي إلى تنفيذ تعليمات برمجية عن بُعد.
أوصت الوكالة المؤسسات بـ:
-
تحديد الخوادم المعرّضة للاستغلال وتطبيق التحديث الأمني الطارئ الصادر عن مايكروسوفت.
-
مراقبة النشاطات المشبوهة والعمليات الفرعية التي تعمل بصلاحيات SYSTEM، خصوصًا تلك المنبثقة من عمليتي wsusservice.exe وw3wp.exe.
-
تحليل أوامر PowerShell المشفرة بصيغة Base64 التي يتم تنفيذها في تسلسل العمليات.
استغلال فعلي وخطر متصاعد
ذكرت شركة Sophos أن جهات تهديد بدأت بالفعل في استغلال الثغرة CVE-2025-59287 لسرقة بيانات حساسة من منظمات أميركية في قطاعات الجامعات، والتقنية، والتصنيع، والرعاية الصحية.
ورُصدت الهجمات لأول مرة في 24 أكتوبر 2025، بعد يوم واحد من إصدار مايكروسوفت للتصحيح الأمني.
وبحسب Sophos، استخدم المهاجمون خوادم WSUS الضعيفة لتشغيل أوامر PowerShell مشفرة بترميز Base64، وإرسال نتائجها إلى نقطة webhook[.]site، وهو ما أكدته تقارير من Darktrace وHuntress وPalo Alto Networks Unit 42.
وأوضحت الشركة أنها رصدت حتى الآن ست حوادث مؤكدة في بيئات عمل عملائها، بينما تشير أبحاث إضافية إلى ما لا يقل عن 50 ضحية أخرى.
وقال راف بيلينغ، مدير وحدة استخبارات التهديدات في Sophos، في تصريح لـ The Hacker News:
“تُظهر هذه الأنشطة أن المهاجمين تحركوا بسرعة لاستغلال الثغرة الحرجة في WSUS لجمع بيانات قيّمة من المؤسسات الضعيفة. ربما كانت هذه مجرد مرحلة استطلاع مبدئية، لكن على المدافعين التعامل معها كإنذار مبكر والاستمرار في تثبيت التحديثات وتأمين إعدادات WSUS.”
وفي تحليل آخر، أشار مايكل هاج، مهندس أبحاث التهديدات في شركة Splunk التابعة لـCisco، إلى أن الثغرة أعمق مما بدا في البداية، وأن فريقه اكتشف سلسلة هجوم بديلة تستخدم ملف mmc.exe في وحدة تحكم إدارة مايكروسوفت (MMC) لتشغيل cmd.exe عند فتح وحدة تحكم WSUS أو النقر على خيار “Reset Server Node”.
وأوضح هاج أن هذا المسار يتسبب في تعطل سجل الأحداث (Event Log) برمز الخطأ 7053، وهو ما طابق الأثر الذي رصدته شركة Huntress في ملف السجل:
C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log.
