آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) روز پنجشنبه آسیبپذیری جدیدی در سیستمعامل Microsoft Windows را به فهرست آسیبپذیریهای شناختهشده تحت سوءاستفاده (KEV) اضافه کرد. این آسیبپذیری با شناسه CVE-2025-24054 و امتیاز CVSS برابر با 6.5، یک نقص در مکانیزم احراز هویت NTLM است که امکان افشای هشهای NTLM را فراهم میسازد.
ماهیت آسیبپذیری NTLM
این نقص امنیتی از نوع Spoofing بوده و در فایلهای با فرمت خاص .library-ms نمایان میشود. تنها اقداماتی همچون کلیک کردن، راستکلیک، یا حتی بازبینی فایل بدون اجرای آن میتواند باعث فعالسازی حمله و نشت هش NTLM شود. مایکروسافت این آسیبپذیری را در بهروزرسانیهای امنیتی ماه مارس 2025 اصلاح کرده و آن را در دسته "احتمال سوءاستفاده پایین" قرار داده بود، اما شواهد جدید از حملات فعال، خلاف این ارزیابی را نشان میدهد.
حملات فعال در اروپا
به گفته شرکت امنیتی Check Point، مهاجمان در بازه زمانی ۲۰ تا ۲۱ مارس ۲۰۲۵ کمپینی را در کشورهای لهستان و رومانی آغاز کردند. در این کمپینها، فایلهای آلوده از طریق لینکهای Dropbox و در قالب آرشیو ZIP ارسال شدهاند. تنها باز کردن یا استخراج این فایلها کافی است تا ویندوز از طریق SMB اقدام به احراز هویت با سرور مخرب کرده و هش NTLM کاربر را ارسال نماید – بدون هیچ تعامل مستقیم کاربر!
جدیدترین خبرها: هشدار جدی برای توسعهدهندگان| بستههای npm جعلی با SSH Backdoor و Reverse Shell به سیستمهای لینوکسی نفوذ میکنند.
اهداف حمله Pass-the-Hash: حرکت افقی و افزایش دسترسی
مهاجمان با استفاده از هشهای بهدستآمده میتوانند حملات Pass-the-Hash را پیادهسازی کرده و به منابع دیگر در شبکه قربانی دسترسی پیدا کنند. بهعلاوه، با ارسال فایلهایی همچون Info.doc.library-ms حتی بدون فشردهسازی، توانستهاند دهها کمپین جدید را از تاریخ ۲۵ مارس به بعد راهاندازی کنند.
ارتباط با آسیبپذیری قبلی
CVE-2025-24054 در واقع نسخهای از آسیبپذیری CVE-2024-43451 محسوب میشود که در نوامبر 2024 اصلاح شده بود. این آسیبپذیری پیشتر توسط گروههای تهدیدی نظیر UAC-0194 و Blind Eagle در حملاتی علیه اوکراین و کلمبیا مورد استفاده قرار گرفته بود.
هشدار به سازمانها: غیرفعالسازی NTLM
CISA به کلیه سازمانهای دولتی آمریکا (FCEB) دستور داده تا پیش از تاریخ ۸ مه ۲۰۲۵ (۱۹ اردیبهشت ۱۴۰۴) نسبت به نصب وصلههای امنیتی اقدام کنند. با توجه به اینکه بهرهبرداری از این نقص تنها با یک کلیک ساده ممکن است، تمامی سازمانها—اعم از دولتی و خصوصی—باید با اولویت بالا نسبت به غیرفعالسازی NTLM و اجرای بهروزرسانیهای امنیتی اقدام کنند.
توصیههای امنیتی برای مقابله با آسیبپذیری CVE-2025-24054
نصب وصلههای امنیتی مایکروسافت
- اولین و مهمترین اقدام، نصب وصلههای امنیتی منتشر شده توسط مایکروسافت در ماه مارس 2025 است. این وصلهها آسیبپذیری CVE-2025-24054 را برطرف میکنند و از بهرهبرداری توسط مهاجمان جلوگیری میکنند.
- برای دریافت بهروزرسانیها، به پنل Windows Update رفته و مطمئن شوید که تمامی بهروزرسانیهای امنیتی جدید اعمال شدهاند. در صورت امکان، بررسی کنید که سیستم بهطور خودکار بهروزرسانیها را دریافت کند.
غیرفعالسازی پروتکل NTLM
- NTLM یک پروتکل احراز هویت قدیمی و آسیبپذیر است که مایکروسافت دیگر از آن حمایت نمیکند. غیرفعالسازی NTLM در محیطهای سازمانی میتواند به کاهش سطح خطر کمک کند. بهترین گزینه استفاده از Kerberos بهعنوان جایگزین NTLM است.
- برای غیرفعالسازی NTLM، میتوانید از دستورالعملهای مایکروسافت برای کنترل احراز هویت NTLM در Group Policy یا Active Directory استفاده کنید.
- در صورت امکان، همه کاربران و سیستمها را به سمت احراز هویت Kerberos هدایت کنید که از نظر امنیتی به مراتب قویتر از NTLM است.
پایش دقیق SMB و ترافیک شبکه
- پایش ترافیک SMB (Server Message Block) یکی از مهمترین اقداماتی است که باید انجام دهید. چون مهاجمان میتوانند با استفاده از آسیبپذیری CVE-2025-24054، هش NTLM را از طریق SMB در شبکه شما ارسال کنند.
- ابزارهای نظارتی و IDS/IPS میتوانند برای شناسایی رفتارهای مشکوک و ترافیک غیرمعمول SMB که ممکن است نشاندهنده تلاش برای بهرهبرداری از این آسیبپذیری باشد، مفید باشند.
- همچنین، تنظیم محدودیتهایی برای ترافیک SMB بین دستگاهها در شبکه و جلوگیری از ارتباط با منابع مشکوک، اقدام مناسبی است.
آموزش و آگاهیسازی کاربران
- آموزش کاربران بهویژه در مورد خطرات فایلهای مشکوک و نحوه شناسایی آنها، یکی از اجزای کلیدی در مدیریت امنیت سازمان است. کاربران باید از باز کردن فایلهایی با پسوندهای ناشناخته (مانند .library-ms) که از منابع غیرقابل اعتماد ارسال میشوند، اجتناب کنند.
- ایجاد یک پروتکل شکایات امنیتی و ایجاد آگاهی در مورد فیشینگ و روشهای معمول حملات به کمک فایلهای آلوده میتواند به کاهش ریسک حملات کمک کند.
استفاده از نرمافزارهای ضدویروس و ضدبدافزار
- اطمینان حاصل کنید که نرمافزار ضدویروس و سیستمهای ضدبدافزار بهطور مداوم و بهروز باشند. این نرمافزارها باید قادر به شناسایی فایلهای مخرب .library-ms و دیگر فایلهای آلوده باشند.
- در نظر گرفتن فیلترهای ایمیل برای شناسایی و مسدود کردن پیوستهای مشکوک (مثل فایلهای فشرده یا فایلهای با پسوند غیرمعمول) میتواند به کاهش حملات از طریق ایمیل کمک کند.
محدودسازی دسترسیها و استفاده از اصول کمترین دسترسی (Least Privilege)
- محدودسازی دسترسیهای سیستم و استفاده از مدلهای امنیتی مبتنی بر کمترین دسترسی میتواند به کاهش اثرات یک حمله کمک کند. اطمینان حاصل کنید که فقط کاربران ضروری به فایلها و منابع حساس دسترسی دارند.
- استفاده از احراز هویت دو عاملی (2FA) و رمزهای عبور قوی برای دسترسی به سیستمهای حساس نیز میتواند از ورود غیرمجاز جلوگیری کند.
آزمایش و شبیهسازی حملات
- برگزاری آزمایشهای نفوذ (Penetration Testing) و شبیهسازی حملات (Red Team Exercises) میتواند به شناسایی نقاط ضعف موجود در زیرساخت شبکه کمک کند. این شبیهسازیها میتوانند تهدیدات مختلف از جمله بهرهبرداری از آسیبپذیریهای NTLM را شبیهسازی کنند و به مدیران امنیتی کمک کنند تا آمادگی بیشتری داشته باشند.
پشتیبانی از شفافیت و گزارشدهی
- در صورت شناسایی حملات یا بهرهبرداری از این آسیبپذیری، سازمانها باید بتوانند بهسرعت گزارشهایی از رویدادهای امنیتی جمعآوری کرده و به تیمهای امنیتی و مقامات مسئول ارسال کنند. استفاده از سیستمهای SIEM (Security Information and Event Management) برای نظارت و تجزیه و تحلیل دادهها میتواند به شناسایی سریع حملات کمک کند.
نتیجهگیری
آسیبپذیری CVE-2025-24054 تهدیدی جدی است که میتواند به حملات Pass-the-Hash و سرقت اطلاعات حساس منجر شود. با پیادهسازی اقدامات امنیتی فوق، از جمله نصب بهروزرسانیها، غیرفعالسازی NTLM، نظارت بر شبکه و آموزش کاربران، میتوان خطرات ناشی از این آسیبپذیری را به حداقل رساند و از نفوذ مهاجمان جلوگیری کرد. امنیت سایبری نیازمند توجه مداوم و اقدامات پیشگیرانه است و زمان برای اقدام فوری بسیار حیاتی است.
جهت مشاهده جدیدترین اخبار در زمینه امنیت شبکه سلام دیجی را دنبال کنید.
