هشدار آژانس امنیت سایبری آمریکا درباره نقص امنیتی ویندوز

به گزارش کارگروه امنیت خبرگزاری سایبربان، آژانس امنیت سایبری و زیرساخت آمریکا (CISA) جمعه شب در اطلاعیه‌ای درباره آسیب‌پذیری CVE-2025-59287 هشدار داد؛ نقصی که مایکروسافت حدود دو هفته پیش در مجموعه ماهانه به‌روزرسانی‌های امنیتی خود گنجانده بود.

این آسیب‌پذیری سرویس به‌روزرسانی ویندوز (Windows Server Update Service (WSUS)) را در نسخه‌های ویندوز سرور 2012، 2016، 2019، 2022 و 2025 تحت تأثیر قرار می‌دهد.

طبق اعلام آژانس، به‌روزرسانی قبلی مایکروسافت به‌طور کامل این نقص را برطرف نکرده بود و میزان شدت آن ۹.۸ از ۱۰ ارزیابی شده است.

ابزار به‌روزرسانی ویندوز ابزاری است که تیم‌های فناوری اطلاعات برای مدیریت و توزیع به‌روزرسانی محصولات مایکروسافت از آن استفاده می‌کنند.

نیک اندرسن، معاون اجرایی بخش امنیت سایبری در آژانس امنیت سایبری و زیرساخت آمریکا، بیان کرد:

اگرچه هیچ نشانه‌ای از نفوذ در شبکه‌های فدرال مشاهده نشده، اما تهدید این مهاجمان واقعی است. سازمان‌ها باید فوراً وصله خارج از چرخه‌ی مایکروسافت را نصب کرده و راهکارهای کاهش خطر را اجرا کنند.

آژانس امنیت سایبری و زیرساخت آمریکا به تمامی سازمان‌های فدرال مهلت داده تا ۱۴ نوامبر این نقص را برطرف کنند.

کارشناس امنیت سایبری بنجامین هریس از شرکت واچ تاور (watchtower) در گفت‌وگو با خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت که تیمش نشانه‌هایی از سوءاستفاده گسترده و تصادفی از این باگ در فضای اینترنت مشاهده کرده است.

گروه‌های هانترس (Huntress) و یونیت 42 (Unit42) متعلق به شرکت پالو آلتو نتوورکس (Palo Alto Networks) نیز تأیید کردند که این آسیب‌پذیری در حال بهره‌برداری است.

مایکروسافت در ۱۴ اکتبر اعلام کرده بود که هنوز سوءاستفاده‌ای مشاهده نشده، اما احتمال آن «زیاد» است.

این شرکت روز جمعه صفحه‌ی هشدار خود را به‌روزرسانی کرد و دستورالعمل نصب وصله جدید را منتشر نمود.

مایکروسافت تأکید کرد نسخه جدید هشدار پس از تأیید انتشار عمومی کد اثبات مفهومی (PoC) برای این آسیب‌پذیری به‌روزرسانی شده است.

سخنگوی شرکت عنوان کرد:

این آسیب‌پذیری دوباره منتشر شد، زیرا وصله اولیه به‌طور کامل مشکل را رفع نکرده بود.

آژانس امنیت سایبری و زیرساخت آمریکا در هشدار خود تأکید کرد که در صورت عدم نصب وصله جدید، مهاجمان می‌توانند بدون نیاز به احراز هویت، کد مخرب را از راه دور با سطح دسترسی سیستمی اجرا کنند.

این آژانس از سازمان‌ها خواست سرورهای آسیب‌پذیر را شناسایی، به‌روزرسانی و راه‌اندازی مجدد کنند و در صورت ناتوانی در نصب فوری وصله، ترافیک ورودی به پورت‌های مشخص‌شده را مسدود کنند.

هریس افزود:

اگر نسخه‌ی وصله‌نشده‌ی ابزار به‌روزرسانی ویندوز هنوز به اینترنت متصل باشد، به احتمال زیاد تا الان آلوده شده است. در سال ۲۰۲۵ هیچ دلیل منطقی برای در دسترس بودن ابزار به‌روزرسانی ویندوز از طریق اینترنت وجود ندارد. هزاران نمونه آسیب‌پذیر از جمله سازمان‌هایی با ارزش بالا و اطلاعات حساس در فضای آنلاین شناسایی شده‌اند.

گزارش شرکت هانترس نیز تأیید کرد که چهار مشتری این شرکت از عصر پنج‌شنبه هدف حمله از طریق این نقص قرار گرفته‌اند.

دو هفته پیش نیز کِو برین، مدیر ارشد تحقیقات تهدید در شرکت ایمرسیو لبز (Immersive Labs) هشدار داده بود که سرویس به‌روزرسانی ویندوز به‌عنوان سرویسی مورد اعتماد در ویندوز می‌تواند به مهاجم اجازه دهد کنترل کامل سیستم‌عامل را به دست گیرد و حتی برخی سامانه‌های تشخیص تهدید (EDR) را دور بزند.

او در آن زمان گفته بود:

اگرچه هنوز این نقص به‌طور فعال در فضای اینترنت مورد سوءاستفاده قرار نگرفته، اما به شکل طنزآمیزی، خود سرویس به‌روزرسانی ویندوز (WSUS) باید هر چه سریع‌تر وصله شود.