مایکروسافت سال ۲۰۲۵ را با مجموعهای از وصلههای جدید برای مجموع ۱۶۱ آسیبپذیری امنیتی در سراسر مجموعه نرمافزاری خود آغاز کرد، ازجمله سه نقص روز صفر که بهطور فعال در حملات مورد بهرهبرداری قرارگرفتهاند[۱].
از ۱۶۱ نقص، ۱۱ مورد بهعنوان بحرانی و ۱۴۹ مورد ازنظر شدت مهم رتبهبندی شدهاند. برای یک نقص دیگر مربوط به دور زدن بوت ایمن ویندوز (CVE-2024-7344)، هیچ شدتی تعیین نشده است. با توجه به Zero Day Initiative، این بهروزرسانی بیشترین تعداد CVE را نشان میدهد که در یک ماه حداقل از سال ۲۰۱۷ به آن پرداخته شده است[۲].
این اصلاحات علاوه بر هفت آسیبپذیری است[۳] که سازنده ویندوز در مرورگر اج مبتنی بر Chromium خود از زمان انتشار بهروزرسانیهای Patch Tuesday در دسامبر ۲۰۲۴ برطرف کرده است[۴].
در میان وصلههای منتشرشده توسط مایکروسافت، سه نقص در Windows Hyper-V NT Kernel VSP (CVE-2025-21333، CVE-2025-21334 و CVE-2025-21335، امتیازات ۷٫۸ در CVSS) وجود دارد که این شرکت گفته است تحت بهرهبرداری فعال در سطح اینترنت قرار گرفته است.
این شرکت در گزارشی برای این سه آسیبپذیری گفت: مهاجمی که با موفقیت از این آسیبپذیری بهرهبرداری کند، میتواند امتیازات سیستم را به دست آورد.
همانطور که مرسوم است، در حال حاضر مشخص نیست که چگونه از این نقصها و در چه زمینهای استفاده میشود. مایکروسافت همچنین هیچ اشارهای به هویت عاملان تهدیدکنندهای که آنها را مسلح کردهاند یا مقیاس حملات نکرده است.
ساتنام نارنگ، مهندس تحقیقات ارشد کارکنان در Tenable، خاطرنشان کرد، با توجه به اینکه آنها اشکالات تشدید امتیاز هستند، بهاحتمالزیاد بهعنوان بخشی از فعالیتهای post-compromise استفاده میشوند، جایی که مهاجم قبلاً با روشهای دیگری به یک سیستم هدف دسترسی پیدا کرده است.
آدام بارنت، مهندس ارشد نرمافزار Rapid7، به هکر نیوز گفت: «ارائهدهنده خدمات مجازیسازی (VSP) در پارتیشن ریشه یک نمونه Hyper-V قرار دارد و پشتیبانی دستگاه مصنوعی را برای پارتیشنهای فرزند از طریق گذرگاه ماشین مجازی (VMBus) فراهم میکند: این پایه و اساس چگونگی اجازه Hyper-V به پارتیشن فرزند است.»
با توجه به اینکه همهچیز یک مرز امنیتی است، شاید تعجبآور باشد که هیچ آسیبپذیری Hyper-V NT Kernel Integration VSP تا به امروز توسط مایکروسافت تائید نشده است، اما اگر اکنون تعداد بیشتری از این آسیبپذیریها ظاهر شوند، اصلاً تکاندهنده نخواهد بود.
بهرهبرداری از Windows Hyper-V NT Kernel Integration VSP همچنین منجر به این شده است که آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) آنها را به کاتالوگ آسیبپذیریهای مورد بهرهبرداری شناختهشده (KEV[5]) خود اضافه کند[۶] و آژانسهای فدرال را ملزم به اعمال اصلاحات تا ۴ فوریه ۲۰۲۵ کند.
بهطور جداگانه، ردموند هشدار داده است که پنج مورد از اشکالات بهطور عمومی شناختهشده است:
- CVE-2025-21186، CVE-2025-21366، CVE-2025-21395 (نمرات ۷٫۸ در CVSS) – آسیبپذیری اجرای کد از راه دور Microsoft Access
- CVE-2025-21275 (امتیاز ۷٫۸ در CVSS) – Windows App Package Installer Elevation of Privilege Vulnerability
- CVE-2025-21308 (امتیاز ۶٫۵ در CVSS) – آسیبپذیری جعل تمهای ویندوز
شایانذکر است که CVE-2025-21308، که میتواند منجر به افشای نادرست هش NTLM شود، قبلاً توسط ۰patch بهعنوان یک دور زدن برای CVE-2024-38030 پرچم گذاری شده بود. یک وصله برای این آسیبپذیری در اکتبر ۲۰۲۴ منتشر شد.
از سوی دیگر، هر سه نقص مایکروسافت اکسس به [۷]Unpatched.ai، یک پلتفرم کشف آسیبپذیری با هدایت هوش مصنوعی، اعتبار دادهشدهاند. Action1 همچنین خاطرنشان کرد[۸] که درحالیکه این نقصها بهعنوان آسیبپذیریهای اجرای کد از راه دور (RCE) طبقهبندی میشوند، بهرهبرداری به مهاجم نیاز دارد تا کاربر را متقاعد کند که یک فایل ساختهشده خاص را باز کند.
این بهروزرسانی همچنین به دلیل بسته شدن پنج نقص مهم در شدت قابلتوجه است:
- CVE-2025-21294 (امتیاز ۸٫۱ در CVSS) – آسیبپذیری اجرای کد از راه دور احراز هویت Microsoft Digest
- CVE-2025-21295 (امتیاز ۸٫۱ در CVSS) – آسیبپذیری اجرای کد از راه دور مکانیسم امنیتی SPNEGO Extended Negotiation (NEGOEX)
- CVE-2025-21298 (امتیاز ۹٫۸ در CVSS) – آسیبپذیری اجرای کد از راه دور پیوند و جاسازی شی ویندوز (OLE)
- CVE-2025-21307 (امتیاز ۹٫۸ در CVSS) – آسیبپذیری اجرای کد از راه دور درایور چندپخشی قابلاعتماد Windows (RMCAST)
- CVE-2025-21311 (امتیاز ۹٫۸ در CVSS) – Windows NTLM V1 Elevation of Privilege Vulnerability
مایکروسافت در بولتن خود برای CVE-2025-21298 گفت: «در یک سناریوی حمله ایمیل، یک مهاجم میتواند با ارسال ایمیلی که مخصوص قربانی است، از این آسیبپذیری سوءاستفاده کند.»
“استفاده از این آسیبپذیری ممکن است شامل باز کردن یک ایمیل خاص توسط قربانی با نسخه آسیبدیده نرمافزار Microsoft Outlook باشد، یا برنامه Outlook قربانی که پیشنمایش یک ایمیل ساختهشده خاص را نمایش میدهد. این میتواند منجر به اجرای کد از راه دور توسط مهاجم بر روی ماشین قربانی شود.”
برای محافظت در برابر این نقص، توصیه میشود که کاربران پیامهای ایمیل را در قالب متن ساده بخوانند. همچنین استفاده از Microsoft Outlook را برای کاهش خطر باز کردن فایلهای RTF از منابع ناشناخته یا نامعتبر توسط کاربران توصیه میکند.
سعید عباسی، مدیر تحقیقات آسیبپذیری در واحد تحقیقات تهدید Qualys، گفت: «آسیبپذیری CVE-2025-21295 در مکانیسم امنیتی SPNEGO Extended Negotiation (NEGOEX) به مهاجمان تائید نشده اجازه میدهد تا کدهای مخرب را از راه دور روی سیستمهای آسیبدیده و بدون تعامل با کاربر اجرا کنند.»
«علیرغم پیچیدگی حمله بالا (AC:H)، بهرهبرداری موفقیتآمیز میتواند بهطور کامل زیرساختهای سازمانی را با تضعیف لایه مکانیزم امنیتی اصلی به خطر بی اندازد، که منجر به نقض احتمالی دادهها میشود. ازآنجاییکه هیچ اعتبارنامه معتبری موردنیاز نیست، خطر تأثیر گسترده قابلتوجه است و این موضوع را برجسته میکند که نیاز به اصلاحات فوری است.»
در مورد CVE-2025-21294، مایکروسافت گفت که یک بازیگر بد میتواند بااتصال به دستگاهی که به احراز هویت خلاصه نیاز دارد، از این آسیبپذیری با موفقیت بهرهبرداری کند، شرایط مسابقه را برای ایجاد یک سناریوی بدون استفاده و سپس استفاده از آن برای اجرای کد دلخواه مورداستفاده قرار دهد.
بن هاپکینز، مهندس امنیت سایبری در آزمایشگاه Immersive، گفت: «Microsoft Digest برنامهای است که مسئول احراز هویت اولیه در زمانی است که یک سرور اولین پاسخ چالش را از مشتری دریافت میکند. سرور با بررسی اینکه آیا کلاینت قبلاً احراز هویت نشده است کار میکند. CVE-2025-21294 شامل بهرهبرداری از این فرآیند برای مهاجمان برای دستیابی به اجرای کد از راه دور (RCE) است.»
در میان لیست آسیبپذیریهایی که بهعنوان احتمال بهرهبرداری بیشتر برچسبگذاری شدهاند، یک نقص افشای اطلاعات است که روی BitLocker ویندوز تأثیر میگذارد (CVE-2025-21210، امتیاز ۴٫۲ در CVSS) که میتواند به بازیابی تصاویر hibernation در متن ساده با فرض اینکه مهاجم است، اجازه دهد و قادر به دسترسی فیزیکی به هارددیسک دستگاه قربانی است.
کیو برین، مدیر ارشد تحقیقات تهدید در آزمایشگاه Immersive گفت: «تصاویر hibernation زمانی استفاده میشود که لپتاپ به خواب میرود و حاوی محتویاتی است که در لحظه خاموش شدن دستگاه در رم ذخیرهشده است.»
“این تأثیر بالقوه قابلتوجهی را نشان میدهد زیرا RAM میتواند حاوی دادههای حساس (مانند رمزهای عبور، اعتبارنامهها و PII) باشد که ممکن است در اسناد باز یا جلسات مرورگر وجود داشته باشند و همه آنها را میتوان با ابزارهای رایگان از فایلهای hibernation بازیابی کرد.”
وصلههای نرمافزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی نیز توسط سایر فروشندگان در چند هفته گذشته برای اصلاح چندین آسیبپذیری منتشرشده است، ازجمله:
- Adobe
- Amazon Web Services
- Arm
- ASUS
- Broadcom(including VMware)
- Cisco
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- GitHub
- GitLab
- Google Androidand Pixel
- Google Chrome
- Google Cloud
- HP
- HP Enterprise(including Aruba Networking)
- Huawei
- IBM
- Imagination Technologies
- Ivanti
- Juniper Networks
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Moxa
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NVIDIA
- Palo Alto Networks
- Phoenix Technologies
- Qualcomm
- Rockwell Automation
- Rsync
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SimpleHelp
- SonicWall
- Splunk
- Veeam
- Zoho ManageEngine
- Zoom, and
- Zyxel
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan
[۲] https://www.zerodayinitiative.com/blog/2025/1/14/the-january-2025-security-update-review
[۳] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۴] https://thehackernews.com/2024/12/microsoft-fixes-72-flaws-including.html
[۵] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۶] https://www.cisa.gov/news-events/alerts/2025/01/14/cisa-adds-four-known-exploited-vulnerabilities-catalog
[۷] https://www.unpatched.ai/reports
[۸] https://www.action1.com/patch-tuesday-january-2025/
[۹] https://thehackernews.com/2025/01/3-actively-exploited-zero-day-flaws.html
ثبت ديدگاه