- تستغل الجهات الفاعلة التي ترعاها الدولة الصينية CVE-2025-59287، وهو عيب خطير في WSUS يتيح RCE غير المصادق عليه مع امتيازات SYSTEM
- أبلغ AhnLab عن مهاجمين يستخدمون PowerCat وcertutil/curl لنشر ShadowPad، وهو باب خلفي خلف PlugX
- وتشمل الأهداف المحتملة قطاعات الحكومة والدفاع والاتصالات والبنية التحتية الحيوية
حذر الخبراء من أن الجهات الفاعلة في مجال التهديد الصيني التي ترعاها الدولة تستغل بشكل نشط ثغرة أمنية في Microsoft Windows Server Update Services (WSUS) لنشر البرامج الضارة.
كجزء من التحديث التراكمي لـ Patch Tuesday لشهر أكتوبر 2025، تناولت Microsoft CVE-2025-59287، وهو خطأ “إلغاء تسلسل البيانات غير الموثوق بها” الموجود في Windows Server Update Service (WSUS). تم منح درجة خطورة الخلل 9.8/10 (حرجة)، لأنه يسمح على ما يبدو بهجمات تنفيذ التعليمات البرمجية عن بعد (RCE). يمكن إساءة استخدامه في هجمات منخفضة التعقيد، دون تدخل المستخدم، مما يمنح الجهات الفاعلة غير المصادق عليها والتي لا تتمتع بامتيازات القدرة على تشغيل تعليمات برمجية ضارة بامتيازات النظام. من الناحية النظرية، سيسمح لهم ذلك بالتمحور وإصابة خوادم WSUS الأخرى أيضًا.
وبعد فترة وجيزة، تم اكتشاف كود إثبات المفهوم (PoC) المتاح للعامة، مما دفع مايكروسوفت إلى إصدار تحديث أمني خارج النطاق (OOB) أيضًا.
يستخدم لنشر ShadowPad
الآن، قال باحثون أمنيون من مركز AhnLab للاستخبارات الأمنية (ASEC) إنهم يرون هجمات ضد نقاط النهاية غير المصححة، مشيرين إلى أنها من عمل الصينيين.
وجاء في التقرير: “استهدف المهاجم خوادم Windows مع تمكين WSUS، مستغلًا CVE-2025-59287 للوصول الأولي”. “ثم استخدموا PowerCat، وهي أداة Netcat مفتوحة المصدر تعتمد على PowerShell، للحصول على غلاف النظام (CMD). وبعد ذلك، قاموا بتنزيل ShadowPad وتثبيته باستخدام certutil وcurl.”
يقال إن ShadowPad هو خليفة لـ PlugX، وهو باب خلفي معياري تم “استخدامه على نطاق واسع” من قبل مجموعات القرصنة التي ترعاها الدولة الصينية. يتم نشره على نقاط النهاية المستهدفة عبر التحميل الجانبي لـ DLL، من خلال ملف ثنائي شرعي يسمى ETDCtrlHelper.exe.
لا نعرف عدد الشركات التي تم استهدافها من خلال WSUS، أو مكان تواجدها، أو في أي الصناعات تعمل. ومع ذلك، إذا كان هذا من عمل الصينيين، فهو إما ضد الحكومة أو الجيش والدفاع أو الاتصالات أو البنية التحتية الحيوية.
وقال AhnLab: “بعد أن تم نشر كود استغلال إثبات المفهوم (PoC) الخاص بالثغرة الأمنية علنًا، قام المهاجمون بتسليحه بسرعة لتوزيع برنامج ShadowPad الضار عبر خوادم WSUS”. “تعتبر هذه الثغرة الأمنية بالغة الأهمية لأنها تسمح بتنفيذ التعليمات البرمجية عن بعد بإذن على مستوى النظام، مما يزيد بشكل كبير من التأثير المحتمل.”
تسمح WSUS لمسؤولي تكنولوجيا المعلومات بإدارة تصحيح أجهزة الكمبيوتر داخل شبكتهم.
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات