האקרים ניצלו חולשה בחומרה קריטית של מיקרוסופט

פגיעות בחומרה קריטית ב-Windows של מיקרוסופט נוצלה על ידי האקרים לביצוע מתקפות וחדירות. הענקית מרדמונד פרסמה בסוף השבוע עדכון אבטחה מיוחד לפגיעות, שלא במסגרת העדכונים השוטפים שלה.

הפגיעות היא בשירות העדכונים של שרתי חלונות, WSUS (ר"ת Windows Server Update Service). היא סומנה כ-CVE-2025-59287 בדרגת חומרה 9.8 בדירוג CVSS.

החולשה מביאה למצב שבו כאשר משתמשים מבטלים נתונים לא מהימנים ב-WSUS, תוקפים יכולים להזריק נוזקה או לערוך שינוי לא רצוי ברשת הקורבן. מומחים ציינו כי למרות חומרתה, הפגיעות לא משפיעה על שרתי Windows שלא כוללים שרת WSUS.

מומחי אבטחה הסבירו ש-"בתרחיש התקפה היפותטי, תוקף מרוחק עלול להביא למצב שבו הקורבן יפעיל ביטול על סדרה של אובייקטים לא בטוחים, תוך שימוש ברכיב במערכת מדור קודם – מה שמוביל את התוקף לקבל יכולת גישה מרחוק עם הרשאת סיסטם למערכות הקורבן".

בעבר, מיקרוסופט עצמה המליצה למפתחים להפסיק להשתמש ביכולת הקיימת ב-BinaryFormatter לצורך ביטול סדרות של נתונים, כי השיטה אינה בטוחה.

מיקרוסופט פרסמה את עדכון האבטחה החריג עבור Windows Server מהגרסאות הבאות: 2012, R2 2012, 2016, 2019, 2022, 2025 ו-23H2 Edition (לשם התקנת Server Core). לאחר הטמעת התיקון, מומלץ לבצע אתחול מחדש של המערכת, כדי שהעדכון ייכנס לתוקף.

המודיע: המרכז הלאומי לאבטחת סייבר בהולנד

הנפקת הטלאי המעודכן הגיעה לאחר ש-NCSC, המרכז הלאומי לאבטחת סייבר בהולנד, הודיע שנודע לו מ-"שותף מהימן" על שימוש לרעה בחולשה על ידי גורמים רעים, שנצפו עושים זאת שלשום (ו'). אותו "שותף מהימן" הוא חברת איי סקיוריטי.

גם חברת אבטחת הסייבר האנטרס זיהתה שחקני איום שמכוונים את המתקפות שלהם לעבר WSUS. עם זאת, היא ציינה שהניצול של החולשה עשוי להיות מוגבל. "התוקפים מינפו נקודות קצה חשופות של WSUS כדי לשלוח בקשות בעלות מבנה מיוחד לשירותי האינטרנט שלו, ובאמצעותם הצליחו להשיג יכולת גישה לא מורשית, מרחוק", הסבירו החוקרים.

"העדכון הראשוני לא הקל לחלוטין על הבעיה"

בתגובה, מיקרוסופט מסרה כי "שחררנו מחדש את העדכון לחולשה, לאחר שזיהינו שהעדכון הראשוני לא הקל לחלוטין על הבעיה. לקוחות שהתקינו את העדכונים האחרונים כבר מוגנים".

מיקרוסופט ציינה כי הבעיה לא משפיעה על שרתים שאינם מופעלים ב-WSUS Server Role והמליצה ללקוחות לעקוב אחר ההנחיות בדף ה-CVE שלה.

מומחים אמרו כי "חיוני שמשתמשים יתקינו את התיקון בהקדם האפשרי, כדי להפחית את האיום". CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, הוסיפה את הפגם הזה לקטלוג הפגיעויות הידועות המנוצלות (KEV) שלה, ודרשה מסוכנויות פדרליות לתקן אותו עד מחצית החודש הבא.