دو آسیبپذیری خطرناک ویندوز، یکی ۰-day و دیگری بحرانی، در حملات گسترده اینترنتی به طور فعال مورد بهرهبرداری قرار گرفتهاند.
به گزارش تکراتو و به نقل از arstechnica، دو آسیبپذیری ویندوز شامل یک مورد ۰-day که از سال ۲۰۱۷ توسط هکرها شناخته شده و یک ضعف بحرانی دیگر که مایکروسافت اخیراً تلاش کرده آن را اصلاح کند اما ناکام مانده، هماکنون در حملات گسترده اینترنتی مورد بهرهبرداری فعال قرار دارند.
آسیبپذیری ۰-day تا مارس گذشته کشف نشده بود، زمانی که شرکت امنیتی ترند میکرو اعلام کرد این ضعف از سال ۲۰۱۷ توسط دستکم ۱۱ گروه تهدید پیشرفته (APT) در حال سوءاستفاده بوده است. این گروهها که اغلب وابسته به دولتها هستند، به طور مداوم افراد یا گروههای خاصی را هدف قرار میدهند.
این آسیبپذیری که با نام ZDI-CAN-25373 دنبال میشد، برای نصب بدافزارهای شناخته شده روی زیرساختها در تقریباً ۶۰ کشور از جمله آمریکا، کانادا، روسیه و کره مورد استفاده قرار گرفته است.
پس از هفت ماه، مایکروسافت هنوز این ضعف را رفع نکرده است. این آسیبپذیری ناشی از یک باگ در فرمت باینری Shortcut ویندوز است که برای دسترسی سریعتر به برنامهها و فایلها کاربرد دارد. در ماههای اخیر، شناسه این آسیبپذیری از ZDI-CAN-25373 به CVE-2025-9491 تغییر یافته است.
شرکت امنیتی Arctic Wolf گزارش داده گروهی مرتبط با چین با نام UNC-6384 از این ضعف در حملاتی علیه کشورهای اروپایی استفاده کرده و بدافزار PlugX را نصب کردهاند. برای پنهان کردن بدافزار، فایل باینری تا مرحله نهایی حمله به صورت رمزگذاریشده در قالب RC4 باقی میماند.
به گفته Arctic Wolf، گستردگی حملات در چند کشور اروپایی در مدت کوتاه نشاندهنده یک عملیات جمعآوری اطلاعات بزرگ یا اجرای همزمان چند تیم عملیاتی با ابزارهای مشترک است.
عدم وجود پچ رسمی باعث شده کاربران ویندوز گزینههای محدودی برای مقابله داشته باشند. مؤثرترین راهکار، مسدود کردن یا محدود کردن فایلهای .lnk از منابع ناشناس و غیرفعال کردن پردازش خودکار این فایلها در Windows Explorer است. شدت آسیبپذیری CVE-2025-9491، ۷ از ۱۰ گزارش شده است.
آسیبپذیری دوم هفته گذشته توسط مایکروسافت اصلاح شد. CVE-2025-59287 که شدت آن ۹.۸ است، در سرویس Windows Server Update Services قرار دارد و مدیران برای نصب، پچ یا حذف برنامهها از آن استفاده میکنند. مایکروسافت پیش از این تلاش کرده بود این ضعف اجرای کد از راه دور را رفع کند، اما اصلاح اولیه ناقص بود.
شرکتهای امنیتی Huntress و Eye گزارش دادهاند که این ضعف از ۲۳ اکتبر در حال بهرهبرداری است. Sophos نیز اعلام کرده این آسیبپذیری از ۲۴ اکتبر در محیطهای متعدد مشتریان مورد سوءاستفاده قرار گرفته است.
مدیران سیستم باید فوراً بررسی کنند که آیا دستگاههای آنها نسبت به هر یک از این حملات آسیبپذیر هستند یا خیر. هنوز مشخص نیست مایکروسافت چه زمانی پچ CVE-2025-9491 را منتشر خواهد کرد.
