در سپتامبر ۲۰۲۵، Microsoft  دومین Patch Tuesday بزرگ سال را برگزار کرد و بیش از ۸۰ آسیب‌پذیری (CVE) در محصولاتش patch شد. تعداد زیادی از این باگ‌ها Elevation of Privilege (EoP)  و Remote Code Execution (RCE) هستند که در شبکه‌های سازمانی و زیرساخت‌های حساس، می‌توانند به صورت زنجیره‌ای منجر به نفوذ کامل سیستم شوند.

یکی از مهم‌ترین موارد این پچ‌آپ‌ها، آسیب‌پذیری CVE-2025-55234  در پروتکل SMB سرور است که امکان حملات relay و افزایش امتیاز را در برخی تنظیمات باز فراهم می‌کند.

وضعیت کلی آسیب‌پذیری‌ها

تحلیل‌های متعدد نشان می‌دهند:

✔️ 8باگ Critical و مابقی با اهمیت Important رتبه‌بندی شده‌اند.

✔️ از نظر نوع آسیب‌پذیری‌ها: بیشترین تعداد مربوط به Elevation of Privilege بوده‌اند، سپس Remote Code Execution، افشای اطلاعات و در نهایت Denial of Service .

✔️ دو مورد از این آسیب‌پذیری‌ها، به عنوان Zero-Day عمومی افشا شده طبقه‌بندی شده‌اند و قبل از انتشار رسمی پچ، عمومی بودند (ولی هنوز گزارشی از بهره‌برداری گسترده ثبت نشده است).

تمرکز فنی بر CVE-2025-55234 (SMB Server Privilege Escalation)

این CVE یکی از آسیب‌پذیری‌هایی است که توجه ویژه امنیتی را جلب کرده است. جزئیات آن به شرح زیر است:

چرا این آسیب‌پذیری خطرناک است؟

✔️ اگر یک دستگاه یا کلاینت قبلاً پیکربندی نشده باشد تا مبادلات احراز هویت SMB سرور را امضا کند یا از EPA استفاده کند، مهاجم می‌تواند از طریق حملات MITM یا relay، credential  را بازبازی کند و به امتیاز بالاتر دست یابد.

✔️ در محیط‌هایی با تجهیزات قدیمی یا نرم‌افزارهایی که از پروتکل‌ها یا تنظیمات پیشرفته حمایت نمی‌کنند، این مشکل شدت پیدا می‌کند. سازگاری (compatibility) یک چالش است.

سایر آسیب‌پذیری‌های مهم

چند نمونه دیگر از آسیب‌پذیری‌هایی که باید در اولویت قرار بگیرند:

✔️ CVE-2025-54918 : افزایش امتیاز در Windows NTLM، مهاجم می‌تواند امتیازات SYSTEM  را به دست آورد.

✔️ CVE-2025-55232 :  RCE در Microsoft High Performance Compute Pack با امتیاز تقریباً ۹.۸.

✔️ آسیب‌پذیری‌ها در BitLocker  (CVE-2025-54911 و CVE-2025-54912) برای افزایش امتیاز.

✔️ آسیب‌پذیری‌های SQL Server، Office, Hyper-V، و NTFS که برخی از آنها امکان Remote Code Execution دارند.

توصیه‌های فنی و عملی برای کارشناسان امنیت

برای سازمان‌ها و تیم‌های امنیتی که می‌خواهند از این وصله‌ها بهترین بهره را ببرند و محیط را در برابر سوءاستفاده مستحکم کنند، موارد زیر کلیدی‌اند:

✔️ بروزرسانی فوری (Patch Now)

بدون تأخیر، سرورها به ویژه سرورهای SMB، Hyper-V، SQL Server، BitLocker  را با آخرین به‌روزرسانی‌ها پچ کنید.

✔️ SMB Hardening

• فعال کردن SMB Signing در سمت سرور
• فعال کردن Extended Protection for Authentication (EPA)
•  استفاده از auditing  جدید مایکروسافت که در به‌روزرسانی سپتامبر گنجانده شده است تا پیش از سخت‌سازی کامل، تجهیزات یا کلاینت‌هایی که سازگاری ندارند شناسایی شوند. این امکان را می‌دهد مشکلات سازگاری قبل از وقوع خرابی عمده بررسی شوند.

✔️ مدیریت NTLM و احراز هویت غیرامن

• اگر ممکن است، استفاده از پروتکل‌های احراز هویت مدرن‌تر مثل Kerberos، احراز هویت چندعاملی (MFA) یا سایر مکانیسم‌هایی که به NTLM اتکا نمی‌کند
• محدود کردن NTLM در شبکه با قوانین گروپ پالیسی (GPO) و مانیتور کردن استفاده از آن.

✔️ تقسیم محیط به شبکه‌های کنترل‌شده‌تر

• شبکه را تقسیم‌بندی کنید، نه تنها از نظر امنیت شبکه بلکه از لحاظ دسترسی کاربران به منابع حیاتی
• استفاده از زیرشبکه‌های جداگانه برای سرورها و کلاینت‌ها
• کنترل دقیق فایروال و دسترسی به SMB فقط از سیستم‌هایی که نیاز دارند.

✔️ پایش مداوم و بررسی آسیب‌پذیری

• اجرای اسکن‌های آسیب‌پذیری منظم، مخصوصاً پس از اعمال وصله‌ها برای شناسایی سیستم‌هایی که وصله نگرفته‌اند یا تنظیمات ضعیفی دارند
• نظارت بر لاگ‌ فعالیت‌های SMB، خطاهای احراز هویت و امتیازات مشکوک.

✔️ آموزش و فرآیند

• اطلاع‌رسانی تیم‌های فنی و مدیران سیستم در مورد خطرات relay attackها و مزاحمت‌هایی که از آسیب‌پذیری‌های افزایش امتیاز ناشی می‌شود
• تعریف فرآیند وصله‌دهی منظم، آزمایش قبل از بروزرسانی محیط ‌Production و بازگشت امن اگر وصله باعث مشکل شود.

پتانسیل تهدیدها + سناریوها

در ادامه چند سناریوی عملی که احتمال دارد در سازمان رخ دهند اگر این آسیب‌پذیری‌ها جدی گرفته نشوند:

✔️ سناریوی Phishing + SMB Relay :

 مهاجم با دریافت نام کاربری و رمز عبور کاربر قربانی، حمله relay انجام می‌دهد تا امتیاز سیستم را بالا ببرد و وارد شبکه داخلی شود. از آنجا به داده‌های حساس دسترسی پیدا کند.

✔️ نفوذ داخلی:

 اگر یک کارمند یا دستگاه داخلی به طور معمول از NTLM یا SMB بدون signing استفاده کند، می‌تواند سوءاستفاده کند تا دسترسی بیشتری در شبکه کسب کند.

✔️ استفاده در حملات زنجیره‌ای:

 ترکیب یک آسیب‌پذیری RCE در یک سرویس وب و آسیب‌پذیری EoP در SMB یا NTLM می‌تواند منجر به کنترل کامل سرور یا Domain Controller شود.

نتیجه‌گیری

این ماه، مایکروسافت با وصله‌کردن ۸۰+ آسیب‌پذیری، به ویژه مواردی در بخش‌های SMB، NTLM، BitLocker، SQL Server و سایر سرویس‌ها، مخاطره‌ای جدی را مهار کرده است. اما واقعیت این است که پچ کردن به‌تنهایی کافی نیست:

✔️ باید تنظیمات امنیتی مناسب را فعال کنیم (SMB Signing، EPA)

✔️ سازگاری سازندگان قدیمی سیستم را بسنجیم

✔️ و مانیتورینگ مداوم داشته باشیم.

اگر سازمان‌ها این کارها را انجام دهند، نه تنها حملات شناخته‌شده قابل مهارند، بلکه آماده برای مقابله با تهدیدات جدیدتر خواهند بود.

❓ سوالات متداول درباره آپدیت امنیتی سپتامبر ۲۰۲۵ مایکروسافت

1 . چه سیستم‌هایی تحت تأثیر این آسیب‌پذیری‌ها هستند؟

اکثر نسخه‌های پشتیبانی‌شده ویندوز (Windows 10، Windows 11، Windows Server 2016 به بعد) و سرویس‌هایی مثل SMB Server، NTLM، BitLocker، SQL Server و Hyper-V در این آپدیت تحت تأثیر قرار گرفته‌اند. اگر سازمان شما هنوز از نسخه‌های قدیمی یا سیستم‌های بدون وصله استفاده می‌کند، بیشترین ریسک متوجه همین دستگاه‌هاست.

2 . مهم‌ترین باگ این ماه کدام است؟

آسیب‌پذیری CVE-2025-55234 در SMB Server از حساس‌ترین موارد است. این باگ امکان اجرای حملات relay و افزایش امتیاز (Privilege Escalation) را فراهم می‌کند، مخصوصاً اگر SMB Signing و Extended Protection for Authentication فعال نباشند.

3 . اگر وصله‌ها را نصب نکنیم چه اتفاقی می‌افتد؟

عدم نصب به‌روزرسانی‌ها می‌تواند باعث شود مهاجم از یک باگ RCE برای نفوذ اولیه استفاده کند و سپس از طریق باگ‌های EoP (مثل SMB یا NTLM) دسترسی سطح SYSTEM یا Domain Admin بگیرد. در نتیجه شبکه سازمانی در معرض خطر کامل تصرف قرار می‌گیرد.

4 . وصله‌ها را چطور باید نصب کنیم؟

ساده‌ترین راه استفاده از Windows Update یا WSUS برای محیط‌های سازمانی است. در صورت استفاده از آنتی‌ویروس‌ها یا ابزارهای مدیریت وصله (Patch Management)، توصیه می‌شود قبل از اعمال روی محیط اصلی، پچ‌ها در یک محیط تست آزمایش شوند.

5 . آیا فقط نصب آپدیت کافی است؟

خیر. علاوه بر نصب وصله‌ها باید تنظیمات امنیتی سخت‌سازی شوند، از جمله:

✔️ فعال‌سازی SMB Signing

✔️ فعال‌سازی Extended Protection for Authentication

✔️محدودسازی یا حذف NTLM در شبکه

✔️ پایش لاگ‌ها و اسکن آسیب‌پذیری منظم

6 . سازمان‌های کوچک هم باید نگران باشند؟

بله، حتی یک لپ‌تاپ یا سرور کوچک هم می‌تواند هدف قرار گیرد.  SMB  و NTLM از پرکاربردترین پروتکل‌ها هستند و در بسیاری از حملات باج‌افزاری نقطه شروع نفوذ بوده‌اند.