دو آسیب‌پذیری ویندوز در حال بهره‌برداری گسترده هستند

دو آسیب‌پذیری خطرناک ویندوز، یکی ۰-day و دیگری بحرانی، در حملات گسترده اینترنتی به طور فعال مورد بهره‌برداری قرار گرفته‌اند.

به گزارش تکراتو و به نقل از arstechnica، دو آسیب‌پذیری ویندوز شامل یک مورد ۰-day که از سال ۲۰۱۷ توسط هکرها شناخته شده و یک ضعف بحرانی دیگر که مایکروسافت اخیراً تلاش کرده آن را اصلاح کند اما ناکام مانده، هم‌اکنون در حملات گسترده اینترنتی مورد بهره‌برداری فعال قرار دارند.

آسیب‌پذیری ۰-day تا مارس گذشته کشف نشده بود، زمانی که شرکت امنیتی ترند میکرو اعلام کرد این ضعف از سال ۲۰۱۷ توسط دست‌کم ۱۱ گروه تهدید پیشرفته (APT) در حال سوءاستفاده بوده است. این گروه‌ها که اغلب وابسته به دولت‌ها هستند، به طور مداوم افراد یا گروه‌های خاصی را هدف قرار می‌دهند.

این آسیب‌پذیری که با نام ZDI-CAN-25373 دنبال می‌شد، برای نصب بدافزارهای شناخته شده روی زیرساخت‌ها در تقریباً ۶۰ کشور از جمله آمریکا، کانادا، روسیه و کره مورد استفاده قرار گرفته است.

پس از هفت ماه، مایکروسافت هنوز این ضعف را رفع نکرده است. این آسیب‌پذیری ناشی از یک باگ در فرمت باینری Shortcut ویندوز است که برای دسترسی سریع‌تر به برنامه‌ها و فایل‌ها کاربرد دارد. در ماه‌های اخیر، شناسه این آسیب‌پذیری از ZDI-CAN-25373 به CVE-2025-9491 تغییر یافته است.

شرکت امنیتی Arctic Wolf گزارش داده گروهی مرتبط با چین با نام UNC-6384 از این ضعف در حملاتی علیه کشورهای اروپایی استفاده کرده و بدافزار PlugX را نصب کرده‌اند. برای پنهان کردن بدافزار، فایل باینری تا مرحله نهایی حمله به صورت رمزگذاری‌شده در قالب RC4 باقی می‌ماند.

به گفته Arctic Wolf، گستردگی حملات در چند کشور اروپایی در مدت کوتاه نشان‌دهنده یک عملیات جمع‌آوری اطلاعات بزرگ یا اجرای همزمان چند تیم عملیاتی با ابزارهای مشترک است.

عدم وجود پچ رسمی باعث شده کاربران ویندوز گزینه‌های محدودی برای مقابله داشته باشند. مؤثرترین راهکار، مسدود کردن یا محدود کردن فایل‌های .lnk از منابع ناشناس و غیرفعال کردن پردازش خودکار این فایل‌ها در Windows Explorer است. شدت آسیب‌پذیری CVE-2025-9491، ۷ از ۱۰ گزارش شده است.

آسیب‌پذیری دوم هفته گذشته توسط مایکروسافت اصلاح شد. CVE-2025-59287 که شدت آن ۹.۸ است، در سرویس Windows Server Update Services قرار دارد و مدیران برای نصب، پچ یا حذف برنامه‌ها از آن استفاده می‌کنند. مایکروسافت پیش از این تلاش کرده بود این ضعف اجرای کد از راه دور را رفع کند، اما اصلاح اولیه ناقص بود.

شرکت‌های امنیتی Huntress و Eye گزارش داده‌اند که این ضعف از ۲۳ اکتبر در حال بهره‌برداری است. Sophos نیز اعلام کرده این آسیب‌پذیری از ۲۴ اکتبر در محیط‌های متعدد مشتریان مورد سوءاستفاده قرار گرفته است.

مدیران سیستم باید فوراً بررسی کنند که آیا دستگاه‌های آن‌ها نسبت به هر یک از این حملات آسیب‌پذیر هستند یا خیر. هنوز مشخص نیست مایکروسافت چه زمانی پچ CVE-2025-9491 را منتشر خواهد کرد.