سوفوس در گزارش‌های 2025 G2

16/02/2025

گسترش حفاظت انطباقی به محیط‌های داخلی

18/02/2025

اولین Patch Tuesday سال 2025 از راه رسید!

مایکروسافت روز سه‌شنبه 159 وصله منتشر کرد که 13 خانواده محصول را تحت پوشش قرار می‌دهند. از میان این مشکلات، مایکروسافت 9 مورد را با شدت حیاتی (Critical) ارزیابی کرده و 43 مورد دارای امتیاز پایه CVSS برابر یا بالاتر از 8.0 هستند. سه مورد از این آسیب‌پذیری‌ها به‌صورت فعال در محیط واقعی مورد بهره‌برداری قرار گرفته‌اند. برای یکی از این مشکلات، بهترین روش کاهش خطر، پیکربندی Microsoft Outlook برای خواندن تمام ایمیل‌های استاندارد به‌صورت متن ساده (Plain Text) است.

این حجم بی‌سابقه وصله‌ها بیشتر مربوط به ویندوز است، با 132 وصله که برای این سیستم‌عامل اعمال می‌شود. (132 وصله به‌تنهایی به‌عنوان سومین انتشار بزرگ از سال 2020 به حساب می‌آید.) در این گروه، چندین موضوع برجسته می‌شود، از جمله 28 وصله اجرای کد از راه دور که بر سرویس‌های تلفنی ویندوز تأثیر می‌گذارد، یا 17 مورد ارتقاء سطح دسترسی که در رسانه دیجیتال ویندوز برطرف شده‌اند. هشت مورد از وصله‌های ویندوز با شدت حیاتی هستند، از جمله باگ OLE در Outlook که در بالا ذکر شد. (به این مورد خاص در ادامه بیشتر خواهیم پرداخت.)

در زمان انتشار وصله‌ها، سه مشکل مهم با شدت EoP (ارتقاء سطح دسترسی) که همگی تحت عنوان “آسیب‌پذیری ادغام کرنل NT Hyper-V VSP” شناخته می‌شوند، در محیط واقعی در حال بهره‌برداری هستند. همچنین، طبق تخمین مایکروسافت، 17 آسیب‌پذیری دیگر ممکن است در 30 روز آینده بیشتر مورد بهره‌برداری قرار گیرند.

علاوه بر این وصله‌ها، انتشار این ماه شامل اطلاعات مشورتی در مورد به‌روزرسانی‌های سرویس‌دهی استک (Servicing Stack Updates)، وصله این ماه مرورگر Edge (همچنین یک وصله برای اینترنت اکسپلورر که در ادامه بحث خواهیم کرد)، و دو مشکل دیگر که در این انتشار پوشش داده شده‌اند اما قبلاً توسط مایکروسافت کاهش خطر یافته‌اند، می‌شود.

همچنین، در پایان این پست ضمایم اضافی ارائه می‌شود که شامل لیست تمام وصله‌های مایکروسافت، مرتب شده بر اساس شدت، قابلیت بهره‌برداری پیش‌بینی‌شده، و خانواده محصول است. یک ضمیمه برای به‌روزرسانی‌های مشورتی و همچنین تفکیک 130 وصله مربوط به پلتفرم‌های مختلف Windows Server که هنوز پشتیبانی می‌شوند نیز در این مجموعه قرار دارد.

مجموع CVEها: 159

افشا شده به‌صورت عمومی: 3
Exploit شناسایی شده: 3

شدت:

حیاتی (Critical): 9
مهم (Important): 150

تأثیر:

اجرای کد از راه دور (Remote Code Execution): 58
ارتقاء سطح دسترسی (Elevation of Privilege): 40
افشای اطلاعات (Information Disclosure): 22
(Denial of Service): 20
دور زدن ویژگی امنیتی (Security Feature Bypass): 14
(Spoofing): 5

امتیاز پایه CVSS:

9.0 یا بالاتر: 3
8.0 یا بالاتر: 40

شکل 1: اگرچه اجرای کد از راه دور (RCE) همچنان بیشترین تأثیر را دارد، اما در اولین انتشار وصله‌های سال، انواع مختلفی از تأثیرات نمایان شده است.

محصولات:

ویندوز: 132
مایکروسافت 365: 13
آفیس: 13
ویژوال استودیو: 7
.NET: 4
اکسس: 3
شیرپوینت: 3
آفیس برای مک: 2
AutoUpdate برای مک: 1
اکسل: 1
Outlook: 1
On-Premises Data Gateway: 1
Power Automate: 1

شکل 2: تمام وصله‌های ویندوز در ژانویه به‌جز دو مورد، برای سیستم‌عامل سرور اعمال می‌شوند. از میان باقی موارد، Office برای مک یک وصله مختص به خود دریافت کرده و یک وصله دیگر را با نسخه‌های دیگر Office به اشتراک می‌گذارد

به‌روزرسانی‌های مهم ژانویه

علاوه بر مشکلات مطرح‌شده در بالا، برخی مسائل خاص نیاز به توجه دارند.

CVE-2025-21298 — آسیب‌پذیری اجرای کد از راه دور OLE ویندوز

با امتیاز پایه CVSS برابر با 9.8، این مشکل با شدت حیاتی توجه زیادی را جلب کرده است، اما این موضوع حتی جالب‌تر از آن است که به نظر می‌رسد. این یک مشکل در فرمت RTF (Rich Text Format) است، بنابراین هرچند باید در ویندوز اصلاح شود، اما به محصولات مختلفی از جمله ایمیل‌ها نیز اعمال می‌شود. از آنجا که این آسیب‌پذیری می‌تواند در پنجره پیش‌نمایش (Preview Pane) فعال شود، یک مهاجم برای بهره‌برداری از این آسیب‌پذیری فقط کافی است یک ایمیل مخرب به هدف ارسال کند؛ حتی اگر کاربر روی هیچ‌چیزی کلیک نکند، تنها مشاهده آن کافی است تا RCE فعال شود. خوشبختانه هنوز به‌نظر نمی‌رسد که این آسیب‌پذیری تحت بهره‌برداری فعال در محیط واقعی قرار گرفته باشد – افرادی که آن را کشف کردند با Zero-Day Initiative همکاری کردند تا این مشکل را به اطلاع مایکروسافت برسانند – اما منطقی است که فرض کنیم زمان در حال سپری شدن است. همانطور که در بالا ذکر شد، مایکروسافت توصیه می‌کند که کاربران ایمیل‌های خود را به‌صورت متن ساده (plaintext) بخوانند و دستورالعمل‌هایی برای پیکربندی دستگاه‌های فردی در Outlook برای انجام این کار ارائه داده است. کاربران سایر برنامه‌های ایمیل نیز باید توجه کرده و اقدام مناسب را انجام دهند.

اولین Patch Tuesday سال 2025

CVE-2025-21311 — آسیب‌پذیری ارتقاء سطح دسترسی NTLM V1 ویندوز

این مشکل دیگر امتیاز 9.8 را در مقیاس CVSS دارد و به جدیدترین نسخه‌های مایکروسافت (ویندوز 11 24H2، سرور 2022 23H2، سرور 2025) اعمال می‌شود. خوشبختانه، این آسیب‌پذیری به‌راحتی با تنظیم LmCompatibilityLevel به حداکثر مقدار 5 قابل کاهش است که استفاده از پروتکل NTLMv1 را غیرفعال می‌کند. این یک نکته مثبت است، زیرا آسیب‌پذیری قابل بهره‌برداری از راه دور است، نیاز به دانش خاصی از سیستم هدف ندارد و نرخ موفقیت بالایی دارد.

CVE-2025-21366، CVE-2025-21395، CVE-2025-21186 – آسیب‌پذیری اجرای کد از راه دور در مایکروسافت اکسس

ادامه موضوع ماه جاری “تغییرات در عملکرد ایمیل که ممکن است کاربران نهایی را ناراحت کند”، وصله‌های این CVEها همه هفت پسوند مشکوک (.accda، .accdb، .accde، .accdr، .accdt، .accdu، .accdw) را از ارسال از طریق ایمیل مسدود می‌کنند. مایکروسافت اعلام کرده است که گیرنده ایمیل متوجه می‌شود که پیوستی وجود داشته اما نمی‌تواند به آن دسترسی پیدا کند. همه سه مشکل RCE (اجرای کد از راه دور) به سمت RDP (پروتکل دسترسی از راه دور) هدف‌گیری شده‌اند و هر سه به‌طور عمومی شناخته شده‌اند.

اولین Patch Tuesday سال 2025

مطالعه بیشتر

اولین Patch Tuesday سال 2025 از راه رسید!

سوفوس در گزارش‌های 2025 G2

گسترش حفاظت انطباقی به محیط‌های داخلی

اولین Patch Tuesday سال 2025 از راه رسید!