ضرب‌الاجل آژانس امنیت سایبری آمریکا برای بروزرسانی و رفع چهار آسیب‌پذیری ویندوز

آژانس امنیت سایبری و زیرساخت‌های آمریکا (CISA) اعلام کرد چهار آسیب‌پذیری قدیمی و جدید مایکروسافت دوباره در حملات سایبری مورد سوءاستفاده قرار گرفته‌اند. موضوعی که باعث شده این سازمان از تمام نهادهای فدرال بخواهد ظرف دو هفته آینده وصله‌های امنیتی مربوطه را نصب کنند. یکی از این آسیب‌پذیری‌ها نخستین‌بار حدود ۱۴ سال پیش رفع شده بود، اما اکنون بار دیگر در حملات واقعی مشاهده می‌شود.

طبق اعلام CISA، چهار ضعف امنیتی به فهرست آسیب‌پذیری‌های شناخته‌شده و مورد سوءاستفاده (KEV) اضافه شده‌اند.

• CVE-2025-60710:

نخستین مورد یک نقص در سازوکار دنبال‌کردن لینک‌ها (link-following) در ویندوز است که امکان ارتقای سطح دسترسی را فراهم می‌کند و مایکروسافت آن را در سال ۲۰۲۵ رفع کرده بود.

• CVE-2023-36424:

مورد دوم مربوط به درایور Windows Common Log File System است که مشابه مورد قبل، مهاجمان را قادر به افزایش سطح دسترسی می‌کرد و وصله آن در سال ۲۰۲۳ منتشر شده بود.

• CVE-2023-21529:

آسیب‌پذیری سوم، ضعفی در فرآیند مدیریت داده‌های غیرقابل اعتماد در Microsoft Exchange Server است که می‌تواند به اجرای کد از راه دور توسط مهاجم احراز هویت‌شده منجر شود. این نقص در سال ۲۰۲۳ رفع شده بود، اما مایکروسافت هفته گذشته هشدار داد یک گروه مجرم سایبری با نام Storm‑1175 همچنان از آن به همراه چندین آسیب‌پذیری دیگر برای کسب دسترسی اولیه به شبکه‌ها، سرقت داده‌ها و در نهایت اجرای باج‌افزار Medusa استفاده می‌کند.

• CVE-2012-1854:

چهارمین آسیب‌پذیری که توجه زیادی را به خود جلب کرده، مربوط به بارگذاری ناامن کتابخانه‌ها در Microsoft Visual Basic for Applications است. این نقص نخستین بار در سال ۲۰۱۲ پچ شد، اما با وجود انتشار دو بروزرسانی امنیتی در همان سال، اکنون دوباره در حملات واقعی مشاهده شده است. موضوعی که نشان می‌دهد برخی نقص‌های قدیمی همچنان می‌توانند برای مهاجمان کاربردی باقی بمانند.

CISA اعلام کرده هنوز مشخص نیست چه میزان از این نقص‌ها در حملات باج‌افزاری استفاده شده است، هرچند طبق گزارش‌های مایکروسافت، دست‌کم یکی از آن‌ها پیش‌تر در چنین حملاتی نقش داشته است. این سازمان در بیانیه خود هشدار داد که آسیب‌پذیری‌های اضافه‌شده مسیرهای رایجی برای نفوذ مهاجمان هستند و می‌توانند تهدید جدی برای ساختارهای فدرال ایجاد کنند. به همین دلیل، مهلت ۲۷ آوریل (7 اردیبهشت) را برای نصب وصله‌ها تعیین کرده است.

هم‌زمان با این اعلام، دو آسیب‌پذیری جدید از محصولات Adobe نیز به فهرست KEV افزوده شدند. یکی از آن‌ها مربوط به یک نقص use‑after‑free در Acrobat و دیگری یک آسیب‌پذیری prototype pollution در Acrobat و Reader است که ماه‌ها به‌عنوان یک روز-صفر فعال مورد سوءاستفاده قرار می‌گرفت. البته ادوبی آخر هفته گذشته وصله امنیتی آن را منتشر کرد.