وصله کردن ۶۷ آسیب‌پذیری ازجمله آسیب‌پذیری روز صفر WEBDAV که در سطح اینترنت مورد بهره‌برداری قرارگرفته بود توسط مایکروسافت

مایکروسافت وصله‌هایی را برای رفع ۶۷ نقص امنیتی[۱]، ازجمله یک اشکال روز صفر در Web Distributed Authoring and Versioning (WEBDAV) که گفته می‌شود به‌طور فعال مورد بهره‌برداری قرارگرفته است، منتشر کرده است.

از ۶۷ آسیب‌پذیری در محصولات مایکروسافت، ۱۱ مورد بحرانی و ۵۶ مورد ازنظر شدت مهم ارزیابی شده‌اند. این شامل ۲۶ نقص اجرای کد از راه دور، ۱۷ نقص افشای اطلاعات و ۱۴ نقص افزایش امتیاز است.

این وصله‌ها علاوه بر ۱۳ نقصی[۲] است که مایکروسافت از زمان انتشار به‌روزرسانی سه‌شنبه‎ ماه گذشته[۳] در مرورگر Edge مبتنی بر Chromium خود برطرف کرده است.

آسیبی که در حملات دنیای واقعی مورداستفاده قرارگرفته است، مربوط به اجرای کد از راه دور در WEBDAV (CVE-2025-33053، امتیاز ۸٫۸ در CVSS) است که می‌تواند با فریب کاربران برای کلیک روی یک URL خاص ساخته‌شده، فعال شود.

این غول فناوری از محققان Check Point، الکساندرا گافمن و دیوید دریکر، برای کشف و گزارش این اشکال قدردانی کرد. شایان‌ذکر است که CVE-2025-33053 اولین آسیب‌پذیری روز صفر است که در استاندارد WebDAV افشا شده است.

در گزارشی جداگانه، این شرکت امنیت سایبری بهره‌برداری از CVE-2025-33053 را به یک عامل تهدید[۴] به نام [۵]Stealth Falcon (معروف به FruityArmor) نسبت داد که سابقه استفاده از آسیب‌پذیری‌های روز صفر ویندوز را در حملات خود دارد. در سپتامبر ۲۰۲۳، مشاهده شد که این گروه هکری از یک درب پشتی به نام Deadglyph به‌عنوان بخشی از یک کمپین جاسوسی با هدف نهادهای قطر و عربستان سعودی استفاده می‌کرد.

شرکت Check Point گفت[۶]: “این حمله از یک فایل .url استفاده کرد که از یک آسیب‌پذیری روز صفر (CVE-2025-33053) برای اجرای بدافزار از یک سرور WebDAV تحت کنترل عامل استفاده می‌کرد. CVE-2025-33053 امکان اجرای کد از راه دور را از طریق دست‌کاری دایرکتوری کاری فراهم می‌کند.”

در زنجیره حمله‌ای که علیه یک شرکت دفاعی ناشناس در ترکیه مشاهده شده است، گفته می‌شود که عامل تهدید از CVE-2025-33053 برای ارائه Horus Agent، یک ایمپلنت سفارشی ساخته‌شده برای چارچوب فرماندهی و کنترل (C2) Mythic، استفاده کرده است. اعتقاد بر این است که بار مخرب مورداستفاده برای شروع حمله، یک فایل میانبر URL، به‌عنوان یک پیوست بایگانی‌شده در یک ایمیل فیشینگ ارسال شده است.

این فایل URL برای اجرای iediagcmd.exe، یک ابزار تشخیصی قانونی برای Internet Explorer، استفاده می‌شود و از آن برای اجرای بار دیگری به نام Horus Loader استفاده می‌کند که مسئول ارائه یک سند PDF فریبنده و اجرای Horus Agent است.

Check Point گفت: “این ایمپلنت که به زبان C++ نوشته شده است، به‌جز اشتراکاتی در منطق عمومی مربوط به ارتباطات Mythic C2، هیچ همپوشانی قابل‌توجهی با عوامل شناخته‌شده Mythic مبتنی بر C نشان نمی‌دهد. درحالی‌که لودر اطمینان حاصل می‌کند که برخی اقدامات را برای محافظت از بار داده اجرا کند، عاملان تهدید اقدامات احتیاطی بیشتری را در خود درب پشتی قرار داده‌اند.”

این شامل استفاده از تکنیک‌هایی مانند رمزگذاری رشته و مسطح‌سازی جریان کنترل برای پیچیده کردن تلاش‌های تحلیلی است. سپس این درِ پشتی به یک سرور از راه دور متصل می‌شود تا وظایفی را که به آن اجازه می‌دهد اطلاعات سیستم را جمع‌آوری کند، فایل‌ها و پوشه‌ها را بشمارد، فایل‌ها را از سرور دانلود کند، shellcode را به فرآیندهای در حال اجرا تزریق کند و از برنامه خارج شود، دریافت کند.

Horus Agent به‌عنوان تکامل‌یافته‌ی ایمپلنت سفارشی Apollo، یک عامل .NET متن‌باز برای چارچوب Mythic، ارزیابی می‌شود که قبلاً بین سال‌های ۲۰۲۲ و ۲۰۲۳ توسط Stealth Falcon استفاده می‌شد.

Check Point گفت: “Horus نسخه پیشرفته‌تری از ایمپلنت سفارشی Apollo گروه‌های تهدید است که با C++ بازنویسی، بهبودیافته و بازسازی شده است.”

“مشابه نسخه Horus، نسخه Apollo قابلیت‌های گسترده‌ی انگشت‌نگاری قربانی را در عین محدود کردن تعداد دستورات پشتیبانی شده، ارائه می‌دهد. این امر به بازیگران تهدید اجازه می‌دهد تا بر شناسایی مخفیانه دستگاه آلوده و تحویل بار داده در مرحله بعدی تمرکز کنند، درحالی‌که اندازه ایمپلنت را به‌طور قابل‌توجهی کوچک‌تر (فقط ۱۲۰ کیلوبایت) از عامل کامل نگه می‌دارند.”

این شرکت اعلام کرد که همچنین مشاهده کرده است که عامل تهدید از چندین ابزار قبلاً مستند نشده مانند موارد زیر استفاده می‌کند:

Credential Dumper، که یک کنترل‌کننده دامنه از قبل در معرض خطر را هدف قرار می‌دهد تا فایل‌های مربوط به اعتبارنامه Active Directory و کنترل‌کننده دامنه را سرقت کند.
Passive backdoor، که درخواست‌های ورودی را شنود کرده و بارهای shellcode را اجرا می‌کند.
Keylogger، یک ابزار سفارشی C++ که تمام کلیدهای فشرده‌شده را ضبط کرده و آن‌ها را در فایلی تحت عنوان “C:/windows/temp/~TN%LogName%.tmp” می‌نویسد.

این keylogger به‌طور قابل‌توجهی فاقد هرگونه مکانیسم C2 است، به این معنی که احتمالاً در ارتباط با مؤلفه دیگری که می‌تواند فایل را برای مهاجمان استخراج کند، کار می‌کند.

Check Point گفت: “Stealth Falcon از ابزارهای مبهم‌سازی و محافظت از کد تجاری و همچنین نسخه‌های اصلاح‌شده سفارشی متناسب با انواع مختلف بارهای داده استفاده می‌کند. این امر مهندسی معکوس ابزارهای آن‌ها را دشوارتر می‌کند و ردیابی تغییرات فنی را در طول زمان پیچیده می‌کند.”

بهره‌برداری فعال از آسیب‌پذیری CVE-2025-33053، آژانس امنیت سایبری و زیرساخت ایالات‌متحده (CISA) را بر آن داشته است تا آن را به فهرست آسیب‌پذیری‌های شناخته‌شده‌ی مورد سوءاستفاده ([۷]KEV) اضافه کند[۸] و از سازمان‌های تابعه‌ی فدرال غیرنظامی (FCEB) بخواهد تا اول ژوئیه‌ی ۲۰۲۵ این وصله را اعمال کنند.

مایک والترز، رئیس و بنیانگذار Action1، گفت[۹]: «آنچه این نقص را به‌ویژه نگران‌کننده می‌کند، استفاده گسترده از WebDAV در محیط‌های سازمانی برای اشتراک‌گذاری فایل و همکاری از راه دور است. بسیاری از سازمان‌ها WebDAV را برای نیازهای تجاری مشروع فعال می‌کنند – اغلب بدون درک کامل از خطرات امنیتی که ایجاد می‌کند.»

شدیدترین آسیب‌پذیری که توسط مایکروسافت برطرف شده است، یک نقص افزایش امتیاز در Power Automate (CVE-2025-47966، امتیاز ۹٫۸ در CVSS) است که می‌تواند به یک مهاجم اجازه دهد امتیازات را از طریق شبکه افزایش دهد. بااین‌حال، هیچ اقدامی از سوی مشتری برای کاهش این اشکال لازم نیست.

از دیگر آسیب‌پذیری‌های قابل‌توجه می‌توان به نقص‌های افزایش امتیاز در Common Log File System Driver (CVE-2025-32713، امتیاز ۷٫۸ در CVSS)، Windows Netlogon (CVE-2025-33070، امتیاز ۸٫۱ در CVSS) و Windows SMB Client (CVE-2025-33073، امتیاز ۸٫۸ در CVSS) و همچنین یک آسیب‌پذیری بحرانی RCE احراز هویت نشده در Windows KDC Proxy Service (CVE-2025-33071، امتیاز ۸٫۱ در CVSS) اشاره کرد.

بن مک‌کارتی، مهندس ارشد امنیت سایبری در Immersive، گفت: «در طول چند ماه گذشته، درایور CLFS به دلیل بهره‌برداری در چندین عملیات باج‌افزاری، به کانون توجه[۱۰] مداوم[۱۱] مهاجمان و محققان امنیتی تبدیل شده است.»

این آسیب‌پذیری به‌عنوان یک سرریز بافر مبتنی بر heap و نوعی آسیب‌پذیری تخریب حافظه با پیچیدگی حمله کم در نظر گرفته می‌شود و بهره‌برداری موفقیت‌آمیز به مهاجم اجازه می‌دهد تا امتیازات را افزایش دهد.»

آدام بارنت، مهندس ارشد نرم‌افزار در Rapid7، گفت که بهره‌برداری از آسیب‌پذیری CVE-2025-33071 مستلزم آن است که مهاجم از یک نقص رمزنگاری سوءاستفاده کرده و در شرایط رقابتی پیروز شود.

خبر بد این است که مایکروسافت صرف‌نظر از این موضوع، احتمال بهره‌برداری را بیشتر می‌داند و ازآنجایی‌که یک پروکسی KDC به درخواست‌های Kerberos از شبکه‌های غیرقابل‌اعتماد کمک می‌کند تا بدون نیاز به اتصال مستقیم TCP از کلاینت به کنترل‌کننده دامنه، به‌راحتی به دارایی‌های قابل‌اعتماد دسترسی پیدا کنند، در اینجا این احتمال وجود دارد که خود پروکسی KDC در معرض یک شبکه غیرقابل‌اعتماد قرار گیرد.

درنهایت، مایکروسافت همچنین وصله‌هایی را برای رفع یک اشکال دور زدن بوت امن (CVE-2025-3052، امتیاز ۶٫۷ در CVSS) که توسط [۱۲]Binarly کشف‌شده[۱۳] و امکان اجرای نرم‌افزار غیرقابل‌اعتماد را فراهم می‌کند، منتشر کرده است.

ردموند در یک هشدار اعلام کرد: «یک آسیب‌پذیری در یک برنامه UEFI که با گواهی UEFI شخص ثالث مایکروسافت امضا شده است، وجود دارد که به مهاجم اجازه می‌دهد بوت امن UEFI را دور بزند. مهاجمی که با موفقیت از این آسیب‌پذیری بهره‌برداری کند، می‌تواند بوت امن را دور بزند.»

مرکز هماهنگی CERT (CERT/CC) در یک توصیه‌نامه که روز سه‌شنبه ۱۰ ژوئن ۲۰۲۵ منتشر شد، اعلام کرد که این آسیب‌پذیری ریشه در برنامه‌های رابط یکپارچه توسعه‌پذیر میان‌افزار (UEFI) DTBios و BiosFlashShell از DT Research دارد که امکان دور زدن بوت امن را با استفاده از یک متغیر NVRAM دستکاری‌شده خاص فراهم می‌کند.

CERT/CC گفت[۱۴]: «این آسیب‌پذیری ناشی از مدیریت نادرست یک متغیر NVRAM در زمان اجرا است که یک تابع اولیه نوشتن دلخواه را فعال می‌کند که قادر به تغییر ساختارهای حیاتی میان‌افزار، ازجمله پروتکل معماری جهانی Security2 که برای تأیید بوت امن استفاده می‌شود، است.»

ازآنجاکه برنامه‌های آسیب‌دیده توسط مرجع صدور گواهی UEFI مایکروسافت امضا شده‌اند، این آسیب‌پذیری می‌تواند در هر سیستم سازگار با UEFI مورد بهره‌برداری قرار گیرد و به کد امضا نشده اجازه دهد در طول فرآیند بوت اجرا شود.»

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند اجرای کد بدون امضا یا مخرب را حتی قبل از بارگذاری سیستم‌عامل امکان‌پذیر کند، که به‌طور بالقوه مهاجمان را قادر می‌سازد بدافزارهای پایداری را منتشر کنند که می‌توانند در راه‌اندازی‌های مجدد زنده بمانند و حتی نرم‌افزار امنیتی را غیرفعال کنند.

بااین‌حال، مایکروسافت تحت تأثیر CVE-2025-4275 (معروف به [۱۵]Hydroph0bia)، یکی دیگر از آسیب‌پذیری‌های دور زدن بوت امن موجود در یک برنامه Insyde H2O UEFI که امکان تزریق گواهی دیجیتال را از طریق یک متغیر NVRAM محافظت نشده (“SecureFlashCertData”) فراهم می‌کند، قرار نگرفته است و منجر به اجرای کد دلخواه در سطح سیستم‌عامل می‌شود.

CERT/CC گفت[۱۶]: “این مشکل ناشی از استفاده ناامن از یک متغیر NVRAM است که به‌عنوان حافظه قابل‌اعتماد برای یک گواهی دیجیتال در زنجیره اعتبارسنجی اعتماد استفاده می‌شود. یک مهاجم می‌تواند گواهی خود را در این متغیر ذخیره کند و متعاقباً سیستم‌عامل دلخواه (امضا شده توسط گواهی تزریق‌شده) را در طول فرآیند بوت اولیه در محیط UEFI اجرا کند.”

منابع

[۱] https://msrc.microsoft.com/update-guide/releaseNote/2025-Jun

[۲] https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security

[۳] https://thehackernews.com/2025/05/microsoft-fixes-78-flaws-5-zero-days.html

[۴] https://attack.mitre.org/groups/G0038

[۵] https://thehackernews.com/2023/09/deadglyph-new-advanced-backdoor-with.html

[۶] https://research.checkpoint.com/2025/stealth-falcon-zero-day

[۷] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۸] https://www.cisa.gov/news-events/alerts/2025/06/10/cisa-adds-two-known-exploited-vulnerabilities-catalog

[۹] https://www.action1.com/patch-tuesday/patch-tuesday-june-2025

[۱۰] https://thehackernews.com/2025/05/microsoft-fixes-78-flaws-5-zero-days.html

[۱۱] https://apa.aut.ac.ir/?p=11227