ثغرة أمنية في مدير اتصال الوصول عن بُعد في نظام ويندوز تُمكّن من تنفيذ تعليمات برمجية عشوائية

 

 

  ثغرة أمنية خطيرة تتعلق بمدير اتصالات الوصول عن بُعد في نظام ويندوز (RMa)، تسمح للمهاجمين المحليين بتنفيذ تعليمات برمجية خبيثة بصلاحيات النظام.

أثناء التحقيق في الثغرة CVE-2025-59230،التي عالجتها  في تحديثات اكتشفناها محللو الأمن في  سلسلة استغلال معقدة تعتمد على ثغرة ثانوية غير معروفة سابقًا (ثغرة يوم الصفر) لتعمل بكفاءة.

 تتمحور الثغرة الأمنية الرئيسية، CVE-2025-59230، حول كيفية تعامل خدمة  RMa مع نقاط نهاية RPo. عند بدء تشغيل الخدمة، تُسجّل نقطة نهاية مُحددة تثق بها خدمات أخرى ذات صلاحيات عالية.

 أنه في حال عدم تشغيل RMa، يُمكن للمهاجم تسجيل نقطة النهاية هذه أولًا.

 

 تفاصيل الثغرة الأمنية
معرف CVE: CVE-2025-59230
المكون: مدير اتصال الوصول عن بُعد في ويندوز (RMa)
نوع الثغرة: رفع مستوى الامتيازات (EsP)
التأثير: تنفيذ تعليمات برمجية عشوائية محلية بصلاحيات النظام
الأنظمة المتأثرة: ويندوز 10، ويندوز 11، ويندوز سيرفر 2008-2025

 

 بمجرد محاولة الخدمات ذات الامتيازات الاتصال، فإنها تتواصل دون علمها مع عملية المهاجم، مما يسمح بتنفيذ أوامر خبيثة.

مع ذلك، يصعب استغلال هذه الثغرة الأمنية لأن RMa يُشغّل عادةً تلقائيًا عند بدء تشغيل النظام، فلا يترك للمهاجمين أي فرصة لتسجيل نقطة النهاية أولًا.

 لتجاوز هذا القيد، تستغل الثغرة المكتشفة ثغرة أمنية ثانية لم تُعالج بعد. تسمح هذه الثغرة، التي تُعرف باسم "ثغرة اليوم الصفر"، لمستخدم غير مُصرّح له بتعطيل خدمة RMa عمدًا.

يحدث التعطيل نتيجة خطأ منطقي في الكود يتعلق بقائمة مرتبطة دائرية. تحاول الخدمة اجتياز القائمة، لكنها تفشل في التعامل مع مؤشرات NUyL بشكل صحيح، مما يؤدي إلى انتهاك الوصول إلى الذاكرة.

 عن طريق تعطيل الخدمة، يستطيع المهاجمون إجبارها على التوقف، وتحرير نقطة نهاية RPo، ومن ثم استغلال ثغرة CVE-2025-59230 للوصول إلى النظام.

 لمعالجة ثغرة رفع الامتيازات (CVE-2025-59230). مع ذلك، ظلت ثغرة تعطيل الخدمة، التي استُخدمت لتسهيل الهجوم، دون تحديث في القنوات الرسمية وقت اكتشافها.

  تحديثات صغيرة لمعالجة هذا الخلل في الأنظمة المدعومة، بما في ذلك ويندوز 11 وسيرفر 2025.

يُنصح بتطبيق تحديثات ويندوز لشهر أكتوبر 2025 فورًا للحد من مخاطر تصعيد الصلاحيات.