مایکروسافت روز سهشنبه ۱۱ فوریه اصلاحاتی را برای ۶۳ نقص امنیتی[۱] که بر محصولات نرمافزاری آن تأثیر میگذارد، منتشر کرد، ازجمله دو آسیبپذیری که به گفته او در سطح اینترنت مورد بهرهبرداری فعال قرار گرفتهاند.
از ۶۳ آسیبپذیری، سه آسیبپذیری بحرانی، ۵۷ آسیبپذیری مهم، یک آسیبپذیری متوسط و دو آسیبپذیری دارای رتبهبندی کم هستند. این جدای از ۲۳ نقصی[۲] است که مایکروسافت در مرورگر اج مبتنی بر Chromium خود از زمان انتشار بهروزرسانی سهشنبه ماه[۳] گذشته به آن پرداخته است.
این بهروزرسانی برای رفع دو نقص فعال قابلاستفاده است:
- CVE-2025-21391 (امتیاز ۷٫۱ در CVSS) – آسیبپذیری افزایش امتیاز فضای ذخیرهسازی ویندوز[۴]
- CVE-2025-21418 (امتیاز ۷٫۸ در CVSS) – درایور عملکرد جانبی ویندوز برای آسیبپذیری بالا بردن امتیاز WinSock[5]
مایکروسافت در هشداری برای CVE-2025-21391 گفت: «یک مهاجم فقط میتواند فایلهای هدفمند روی یک سیستم را حذف کند. این آسیبپذیری اجازه افشای اطلاعات محرمانه را نمیدهد، اما میتواند به مهاجم اجازه دهد دادههایی را که میتواند شامل دادههایی باشد که منجر به در دسترس نبودن سرویس میشود، حذف کند.»
مایک والترز، رئیس و یکی از بنیانگذاران Action1، خاطرنشان کرد[۶] که این آسیبپذیری میتواند با نقصهای دیگری برای افزایش امتیازات و انجام اقدامات بعدی که میتواند تلاشهای بازیابی را پیچیده کند و به عوامل تهدید اجازه دهد با حذف مصنوعات forensic حیاتی، ردپای خود را بپوشانند، زنجیر شود.
از سوی دیگر، CVE-2025-21418 به یک مورد افزایش امتیاز در AFD.sys مربوط میشود که میتواند برای دستیابی به امتیازات SYSTEM مورد بهرهبرداری قرار گیرد.
شایانذکر است که نقص مشابهی در همان مؤلفه (CVE-2024-38193) توسط Gen Digital در اوت گذشته بهعنوان تسلیحات گروه لازاروس مرتبط با کره شمالی فاش شد[۷]. در فوریه ۲۰۲۴، غول فناوری همچنین نقصی در افزایش امتیاز هسته ویندوز (CVE-2024-21338) را که بر درایور AppLocker (appid.sys) تأثیر میگذاشت که توسط hacking crew نیز مورد بهرهبرداری قرار میگرفت.
این زنجیرههای حمله به این دلیل متمایز میشوند که با بهرهگیری از یک نقص امنیتی در درایور ویندوز بومی فراتر از حمله سنتی Bring Your Own Vulnerable Driver (BYOVD) میروند و درنتیجه نیاز به معرفی سایر درایورها در محیطهای هدف را برطرف میکنند.
در حال حاضر مشخص نیست که آیا سوءاستفاده از CVE-2025-21418 به گروه Lazarus نیز مرتبط است یا خیر. آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) هر دو نقص را به کاتالوگ آسیبپذیریهای مورد بهرهبرداری شناختهشده ([۸]KEV) خود اضافه[۹] کرده است و سازمانهای فدرال را ملزم میکند تا اصلاحیهها را تا ۴ مارس ۲۰۲۵ اعمال کنند.
شدیدترین نقصی که مایکروسافت در بهروزرسانی این ماه به آن پرداخته است، CVE-2025-21198 (امتیاز ۹٫۰ در CVSS) است[۱۰] که یک آسیبپذیری اجرای کد از راه دور (RCE) در بسته محاسباتی با عملکرد بالا (HPC) است.
مایکروسافت میگوید: «یک مهاجم میتواند با ارسال یک درخواست HTTPS ساختهشده خاص به گره اصلی هدف یا گره محاسباتی لینوکس از این آسیبپذیری بهرهبرداری کند و به آنها توانایی انجام RCE را روی خوشهها یا گرههای دیگر متصل به سر گره هدفگیری میکند».
همچنین باید به آسیبپذیری RCE دیگری (CVE-2025-21376، امتیاز ۸٫۱ در CVSS) اشاره کرد[۱۱] که بر Lightweight Directory Access Protocol یا LDAP ویندوز تأثیر میگذارد که به مهاجم اجازه میدهد یک درخواست ساختهشده ویژه ارسال کند و کد دلخواه را اجرا کند. بااینحال، بهرهبرداری موفقیتآمیز از نقص مستلزم برنده شدن بازیگر تهدید در شرایط مسابقه است.
بن مک کارتی، مهندس امنیت سایبری ارشد در آزمایشگاههای Immersive، گفت: «با توجه به اینکه LDAP جزء لاینفک Active Directory است، که اساس احراز هویت و کنترل دسترسی در محیطهای سازمانی است، مصالحه میتواند منجر به حرکت جانبی، افزایش امتیازات و نقض گسترده شبکه شود.»
در جای دیگر، این بهروزرسانی آسیبپذیری افشای هش NTLMv2 (CVE-2025-21377، امتیاز ۶٫۵ در CVSS) را برطرف میکند[۱۲] که در صورت بهرهبرداری موفقیتآمیز، میتواند به مهاجم اجازه دهد تا بهعنوان کاربر هدف احراز هویت کند.
وصلههای نرمافزاری از سایر فروشندگان
علاوه بر مایکروسافت، بهروزرسانیهای امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیبپذیری منتشر شده است، ازجمله:
- Adobe
- Advantive VeraCore
- Amazon Web Services
- AMD
- Apple
- Arm
- ASUS
- AutomationDirect
- Bosch
- Canon
- Cisco
- CODESYS
- D-Link
- Dell
- Devolutions Remote Desktop Manager
- Drupal
- F5
- Fortinet
- GitLab
- Google Android and Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- HMS Networks
- HP
- HP Enterprise (including Aruba Networking)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- OpenSSL
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Synology
- Trimble Cityworks
- Veeam
- Veritas
- Zimbra
- Zoom, and
- Zyxel
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb
[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
[۳] https://thehackernews.com/2025/01/3-actively-exploited-zero-day-flaws.html
[۴] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21391
[۵] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21418
[۶] https://www.action1.com/patch-tuesday/patch-tuesday-february-2025
[۷] https://thehackernews.com/2024/08/microsoft-patches-zero-day-flaw.html
[۸] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۹] https://www.cisa.gov/news-events/alerts/2025/02/11/cisa-adds-four-known-exploited-vulnerabilities-catalog
[۱۰] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21198
[۱۱] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21376
[۱۲] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-21377
[۱۳] https://thehackernews.com/2025/02/microsofts-patch-tuesday-fixes-63-flaws.html
ثبت ديدگاه