مایکروسافت وصله‌هایی برای رفع ۶۷ آسیب‌پذیری امنیتی منتشر کرد که یکی از آنها یک باگ روز صفر در WebDAV است که به طور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته است.

از ۶۷ آسیب‌پذیری، ۱۱ مورد بحرانی و ۵۶ مورد مهم هستند. این موارد شامل ۲۶ نقص اجرای کد از راه دور، ۱۷ نقص افشای اطلاعات و ۱۴ نقص ارتقای امتیازات می‌شود. این وصله‌ها علاوه بر ۱۳ نقصی است که در مرورگر Edge مبتنی بر Chromium از زمان انتشار آخرین به‌روزرسانی ماه گذشته برطرف شده‌اند.

آسیب‌پذیری که در حملات واقعی مورد استفاده قرار گرفته، مربوط به اجرای کد از راه دور در WebDAV با شناسه CVE-2025-33053 و امتیاز CVSS برابر ۸.۸ است. این آسیب‌پذیری با فریب کاربران برای کلیک روی یک URL ویژه طراحی شده فعال می‌شود. مایکروسافت از محققان Check Point به نام‌های الکساندرا گافمن و دیوید دریکر برای کشف و گزارش این باگ تشکر کرد.

این اولین آسیب‌پذیری روز صفر است که در استاندارد WebDAV افشا شده است. Check Point سوءاستفاده از این آسیب‌پذیری را به گروه تهدیدی به نام Stealth Falcon نسبت داد که سابقه استفاده از آسیب‌پذیری‌های روز صفر ویندوز را دارد.

در سپتامبر ۲۰۲۳، این گروه هکری با استفاده از بدافزار Deadglyph در کمپین جاسوسی علیه نهادهایی در قطر و عربستان سعودی مشاهده شد. در حالی که عملیات Stealth Falcon احتمالاً به امارات متحده عربی مرتبط است، Check Point نتوانست ارتباط کشوری خاصی را تأیید کند.

الی اسمادجا، مدیر گروه تحقیقات Check Point گفت: “این فعالیت بسیار هدفمند به نظر می‌رسد و قربانیان خاصی را هدف قرار می‌دهد نه اینکه گسترده باشد.”

Check Point توضیح داد: “حمله از یک فایل url. استفاده کرد که آسیب‌پذیری روز صفر را برای اجرای بدافزار از سرور WebDAV تحت کنترل مهاجم سوءاستفاده می‌کرد. CVE-2025-33053 امکان اجرای کد از راه دور را از طریق دستکاری دایرکتوری کاری فراهم می‌کند.”

در زنجیره حمله مشاهده شده علیه یک شرکت دفاعی ناشناس در ترکیه، مهاجم از CVE-2025-33053 برای تحویل Horus Agent استفاده کرد که یک ایمپلنت سفارشی برای چارچوب کنترل و فرماندهی Mythic است. احتمالاً بار مخرب اولیه به صورت فایل میانبر URL در پیوست ایمیل فیشینگ ارسال شده بود.

فایل URL برای راه‌اندازی iediagcmd.exe استفاده می‌شود که یک ابزار تشخیصی مشروع برای Internet Explorer است. این ابزار برای اجرای بار دیگری به نام Horus Loader استفاده می‌شود که مسئول ارائه یک سند PDF فریبنده و اجرای Horus Agent است.

Check Point گفت: “این ایمپلنت که به زبان ++C نوشته شده، همپوشانی قابل توجهی با عامل‌های Mythic مبتنی بر C شناخته شده ندارد، به جز اشتراکات در منطق عمومی مربوط به ارتباطات C2 Mythic.”

بدافزار از تکنیک‌هایی مانند رمزگذاری رشته و مسطح‌سازی جریان کنترل برای پیچیده کردن تحلیل استفاده می‌کند. سپس به سرور راه دور متصل می‌شود تا وظایفی را دریافت کند که امکان جمع‌آوری اطلاعات سیستم، شمارش فایل‌ها و پوشه‌ها، دانلود فایل‌ها از سرور، تزریق شل‌کد به فرآیندهای در حال اجرا و خروج از برنامه را فراهم می‌کند.

Horus Agent به عنوان تکامل ایمپلنت Apollo سفارشی شده ارزیابی می‌شود که یک عامل متن‌باز NET. برای چارچوب Mythic است و قبلاً توسط Stealth Falcon بین سال‌های ۲۰۲۲ و ۲۰۲۳ استفاده شده بود.

Check Point همچنین مشاهده کرد که مهاجم از چندین ابزار مستند نشده استفاده می‌کند از جمله:

• Credential Dumper که کنترلر دامنه به خطر افتاده را هدف قرار می‌دهد تا فایل‌های مربوط به اعتبارنامه Active Directory و Domain Controller را بدزدد
• بدافزار غیرفعال که به درخواست‌های ورودی گوش می‌دهد و بارهای شل‌کد را اجرا می‌کند
• کی‌لاگر، ابزار سفارشی ++C که تمام ضربات کلید را ثبت و در فایلی در مسیر “C:/windows/temp/~TN%LogName%.tmp” می‌نویسد

کی‌لاگر فاقد مکانیزم C2 است، به این معنی که احتمالاً با جزء دیگری که می‌تواند فایل را به مهاجمان ارسال کند، کار می‌کند.

سوءاستفاده فعال از CVE-2025-33053 باعث شد آژانس امنیت سایبری و زیرساخت آمریکا (CISA) آن را به کاتالوگ آسیب‌پذیری‌های شناخته شده سوءاستفاده شده اضافه کند و آژانس‌های فدرال را ملزم به اعمال وصله تا ۱ جولای ۲۰۲۵ کند.

مایک والترز، رئیس و بنیانگذار Action1 گفت: “آنچه این نقص را نگران‌کننده می‌کند، استفاده گسترده از WebDAV در محیط‌های سازمانی برای اشتراک‌گذاری فایل از راه دور و همکاری است. بسیاری از سازمان‌ها WebDAV را برای نیازهای تجاری مشروع فعال می‌کنند – اغلب بدون درک کامل خطرات امنیتی که ایجاد می‌کند.”

شدیدترین آسیب‌پذیری که توسط مایکروسافت حل شد، یک نقص ارتقای امتیازات در Power Automate با شناسه CVE-2025-47966 و امتیاز CVSS برابر ۹.۸ است که می‌تواند به مهاجم اجازه دهد امتیازات را در شبکه ارتقا دهد. با این حال، هیچ اقدامی از سوی مشتری برای کاهش این باگ لازم نیست.

سایر آسیب‌پذیری‌های قابل توجه شامل نقص‌های ارتقای امتیازات در Common Log File System Driver، Windows Netlogon، و Windows SMB Client، و همچنین یک آسیب‌پذیری RCE بحرانی بدون احراز هویت در Windows KDC Proxy Service است.

بن مک‌کارتی، مهندس ارشد امنیت سایبری در Immersive گفت: “در چند ماه گذشته، درایور CLFS به دلیل سوءاستفاده در عملیات‌های متعدد باج‌افزار، به تمرکز ثابتی برای مهاجمان و محققان امنیتی تبدیل شده است.”

CVE-2025-33073 تنها آسیب‌پذیری است که در زمان انتشار به طور عمومی شناخته شده بود. CrowdStrike، Synacktiv، SySS GmbH، RedTeam Pentesting و Google Project Zero برای گزارش این باگ مورد تقدیر قرار گرفتند.

محققان Synacktiv گفتند: “اگرچه CVE-2025-33073 توسط مایکروسافت به عنوان ارتقای امتیازات اشاره می‌شود، در واقع یک اجرای دستور از راه دور احراز هویت شده به عنوان SYSTEM در هر دستگاهی است که امضای SMB را اجرا نمی‌کند.”

مسیر سوءاستفاده نیاز دارد که قربانی به سرور SMB مخرب تحت کنترل مهاجم متصل شود که در نهایت منجر به ارتقای امتیازات از طریق حمله رله Kerberos بازتابی می‌شود.

آدام بارنت، مهندس ارشد نرم‌افزار در Rapid7 گفت که سوءاستفاده از CVE-2025-33071 نیاز دارد که مهاجم یک نقص رمزنگاری را سوءاستفاده کند و در یک شرایط رقابتی برنده شود.

در نهایت، مایکروسافت همچنین وصله‌هایی برای رفع یک باگ دور زدن Secure Boot با شناسه CVE-2025-3052 و امتیاز CVSS برابر ۶.۷ که توسط Binarly کشف شده، منتشر کرد که امکان اجرای نرم‌افزار غیرقابل اعتماد را فراهم می‌کند.

مرکز هماهنگی CERT در مشاوره‌ای که روز سه‌شنبه منتشر شد، گفت که آسیب‌پذیری در برنامه‌های UEFI به نام‌های DTBios و BiosFlashShell از DT Research ریشه دارد که امکان دور زدن Secure Boot را با استفاده از متغیر NVRAM ویژه طراحی شده فراهم می‌کند.

سوءاستفاده موفق از این آسیب‌پذیری می‌تواند اجازه اجرای کد بدون امضا یا مخرب را حتی قبل از بارگذاری سیستم عامل بدهد و به طور بالقوه مهاجمان را قادر می‌سازد بدافزار پایدار که می‌تواند از راه‌اندازی مجدد جان سالم به در ببرد و حتی نرم‌افزار امنیتی را غیرفعال کند، رها کنند.

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط فروشندگان دیگر نیز در چند هفته گذشته برای رفع آسیب‌پذیری‌های متعدد منتشر شده است، از جمله Adobe، Amazon Web Services، AMD، Arm، Atlassian، Cisco، Dell، Fortinet، Google، HP، IBM، Intel، Lenovo، NVIDIA، Qualcomm، SAP، Siemens و بسیاری دیگر.