IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

آسیب‌پذیری بحرانی Windows SMB Client فعالانه مورد سوءاستفاده قرار گرفته است

اخبار داغ فناوری اطلاعات و امنیت شبکه

Takian.ir CISA Windows SMB Vulnerability

هشدار فوری CISA: آسیب‌پذیری بحرانی Windows SMB Client فعالانه مورد سوءاستفاده قرار گرفته است

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) یک هشدار امنیتی اضطراری در تاریخ ۲۰ اکتبر ۲۰۲۵ صادر کرد و بر آسیب‌پذیری جدی CVE-2025-33073 در Windows SMB Client مایکروسافت تأکید کرد. این نقص که در کاتالوگ «آسیب‌پذیری‌های فعالانه مورد سوءاستفاده قرار گرفته» (KEV) CISA قرار گرفته است، یک نقص در کنترل دسترسی نامناسب محسوب می‌شود که ریسک بالای ارتقاء سطح دسترسی (Privilege Escalation) و کنترل کامل سیستم‌ها را در پی دارد.

جزئیات آسیب‌پذیری و نحوه حمله

این آسیب‌پذیری پروتکل Server Message Block (SMB) را هدف قرار می‌دهد؛ پروتکلی که شالوده اشتراک‌گذاری فایل و ارتباطات شبکه‌ای در ویندوز است.

  • CVE: CVE-2025-33073 (شناسه دقیق نقص کنترل دسترسی نامناسب)

  • تأثیر: ارتقاء سطح دسترسی (LPE) و به دست آوردن کنترل کامل بر دستگاه قربانی.

  • نحوه سوءاستفاده: مهاجمان می‌توانند یک اسکریپت مخرب را مهندسی کنند که دستگاه قربانی را فریب می‌دهد تا یک اتصال SMB را به صورت خودکار به سرور مهاجم آغاز کند. این اتصال اجباری، فرآیند احراز هویت را دور زده و به مهاجم اجازه دسترسی غیرمجاز می‌دهد.

  • بردار حمله: این نقص معمولاً از طریق مهندسی اجتماعی یا حملات «Drive-by Download» آغاز می‌شود؛ جایی که کاربر ناخواسته payload مخرب را اجرا می‌کند. پس از فعال‌سازی، کلاینت SMB بدون تأیید کاربر، به سرور مهاجم احراز هویت می‌کند.

اهمیت تهدید:

SMB از زمان حملات گسترده WannaCry در سال ۲۰۱۷، همواره هدف اصلی مجرمان سایبری بوده است. سوءاستفاده فعال از این نقص نشان می‌دهد که این تکنیک‌های ارتقاء امتیاز همچنان برای گروه‌های باج‌افزاری مانند LockBit و Conti جذاب است تا پس از نفوذ اولیه، در شبکه به صورت جانبی حرکت کنند و کنترل سرورها و داده‌ها را به دست بگیرند.

اقدام فوری برای محافظت

CISA و مایکروسافت یک مهلت ۲۱ روزه را برای رفع این آسیب‌پذیری تعیین کرده‌اند و به سازمان‌ها دستور می‌دهند تا اقدامات زیر را فوراً انجام دهند:

  1. وصله فوری: سازمان‌ها باید فوراً آخرین وصله‌های مایکروسافت (که در بولتن‌های امنیتی رسمی ارائه شده‌اند) را اعمال کنند.

  2. سخت‌سازی SMB: در صورت عدم امکان وصله فوری، سازمان‌ها باید پروتکل SMB را سخت‌تر کنند:

    • غیرفعال کردن SMBv1: کلیه ویژگی‌های غیرضروری SMBv1 را غیرفعال کنند، چرا که این نسخه قدیمی دارای ریسک بالایی است.

    • قانون حداقل دسترسی: سیاست‌های دسترسی با حداقل امتیازات را در کل شبکه اجرا کنند تا ریسک دسترسی‌های غیرمجاز کاهش یابد.

  3. نظارت بر ترافیک: از ابزارهای امنیتی (مانند Windows Defender یا EDR‌های شخص ثالث) برای نظارت بر ناهنجاری‌های ترافیک SMB استفاده شود.

  4. اسکن آسیب‌پذیری: سیستم‌های خود را با ابزارهایی مانند Nessus یا Qualys اسکن کرده تا هرگونه نمونه آسیب‌پذیر در شبکه شناسایی شود.

برچسب ها: Exploit, SMB, windows, Anti-Phishing, Anti Ransomware, هکر, فیشینگ, بدافزار, امنیت_سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل