در تاریخ ۲۰ اکتبر ۲۰۲۵، آژانس امنیت سایبری آمریکا (CISA) رسماً اعلام کرد که یک آسیبپذیری با درجه بسیار بالا در پروتکل SMB ویندوز، که قبلاً در پچ ژوئن ۲۰۲۵ رفع شده بود، در حملات واقعی (the wild) در حال استفاده است. این نقص با شناسه CVE-2025-33073 شناخته میشود و امکان ارتقای سطح دسترسی (privilege escalation) به سطح SYSTEM را برای مهاجم فراهم میکند.
چه محصولاتی تحت تأثیر هستند؟
✔️ تمامی نسخههای ویندوز سرور (پشتیبانی شده)
✔️ ویندوز ۱۰
✔️ ویندوز ۱۱ تا نسخه ۲۴H2
به عبارت دیگر، تقریباً هر سیستمی که از پروتکل SMB استفاده میکند در معرض مخاطره است.
🔍 پروتکل SMB چیست؟
SMB (Server Message Block) یک پروتکل ارتباطی در سیستمعاملهای ویندوز است که به دستگاهها اجازه میدهد فایلها، پرینترها و منابع شبکه را با یکدیگر بهصورت اشتراکی استفاده کنند.
به زبان ساده، SMB همان چیزی است که به کاربران امکان میدهد پوشهای در یک سرور را از طریق مسیر \\ServerName\Share باز کنند، بدون آنکه نیاز باشد وارد محیط فیزیکی آن سرور شوند.
این پروتکل از دهه ۸۰ میلادی وجود داشته و در طول زمان چندین نسخه از آن منتشر شده است (SMBv1 تا SMBv3.1.1). مایکروسافت SMB را به عنوان بخشی از Windows Networking و Active Directory توسعه داده و در بسیاری از سرویسهای حیاتی مانند:
✔️ اشتراکگذاری فایلها (File Sharing)
✔️ انتقال داده بین کلاینتها و سرورها
✔️ دسترسی به چاپگرهای شبکه (Printer Sharing)
و حتی بخشی از فرایندهای احراز هویت NTLM و Kerberos از آن استفاده میشود.
اما همین گستردگی کاربرد باعث شده SMB به یکی از هدفهای محبوب مهاجمان سایبری تبدیل شود. چرا؟
چون در بسیاری از شبکهها پورتهای مربوط به SMB (بهویژه ۴۴۵/TCP و ۱۳۷–۱۳۹) باز هستند و اگر کنترل دسترسی بهدرستی انجام نشود، مهاجم میتواند از طریق SMB به فایلها یا حتی کل شبکه نفوذ کند.
از نظر تاریخی نیز SMB سابقهی تلخی دارد. حملات بزرگی مانند WannaCry و NotPetya دقیقاً از طریق ضعفهای SMBv1 انجام شدند. به همین دلیل، سازمانها معمولاً توصیه میشوند:
SMBv1 ✔️را غیرفعال کنند،
✔️دسترسیها را محدود به شبکه داخلی نمایند،
✔️ و از SMB Signing برای جلوگیری از حملات مرد میانی (MITM) استفاده کنند.
در حملهی جدید مبتنی بر CVE-2025-33073 نیز، همین پروتکل پایهای نقشی کلیدی در فرآیند ارتقای دسترسی مهاجم ایفا میکند.
سازوکار سوءاستفاده (Exploit) چگونه است؟
مهاجم ابتدا یک اسکریپت خاص آماده میکند که سیستم قربانی را فریب میدهد تا به سروری که مهاجم کنترل میکند با استفاده از پروتکل SMB متصل شود. هنگامی که اتصال برقرار شود و قربانی احراز هویت کند، نقص دسترسی کنترل (improper access control) در پیادهسازی SMB، امکان ارتقای سطح دسترسی به SYSTEM را فراهم میآورد.
نکته قابل تأمل: مهاجم نیاز به مجوز دسترسی پایهای (مثلاً دسترسی کاربری با سطح محدود) دارد اما نیازی به تعامل مستقیم کاربر یا اجرای دستی کد ندارد. این امر باعث میشود نقص بسیار خطرناک و سریعالاثر باشد.
اهمیت و مخاطره
امتیاز SYSTEM قابلیت انجام هر عملی را در سیستم میدهد: دسترسی کامل به فایلها، تنظیمات، نصب بدافزار، پاک کردن ردپا و غیره. با توجه به اینکه SMB در بسیاری از سازمانها برای اشتراک فایل، منابع شبکه و تعامل بین سرورها/کلاینتها استفاده میشود، مهاجم میتواند از این مسیر به حرکت جانبی (lateral movement) بپردازد و دامنه حمله را گسترش دهد.
سازمانهایی که مدیریت پچ ضعیفی دارند یا دستگاههایی را از قلم انداختهاند، اکنون در معرض حملات جدی هستند. CISA این نقص را به فهرست نقصهای شناختهشده مورد سوءاستفاده (Known Exploited Vulnerabilities Catalog) اضافه کرده است. برای نهادهای فدرال آمریکا، دستورالعمل BOD 22-01 حکم میکند که این نقصها تا ۱۰ نوامبر ۲۰۲۵ برطرف شوند.
توصیههای فوری برای تیمهای امنیتی سازمانها
1.بهروزرسانی فوری
مطمئن شوید که تمامی سیستمهای ویندوز (سرورها و کلاینتها) بهروزرسانی ژوئن ۲۰۲۵ مایکروسافت را دریافت کردهاند.
2.محدودسازی دسترسی SMB
اگر ممکن است، دسترسی SMB را به شبکههای غیرقابل اعتماد محدود کنید یا اتصال به اینترنت عمومی را قطع نمایید.
3.فعالسازی SMB Signing و تنظیمات امنیتی
استفاده از SMB Signing و بررسی پیکربندیهای امنیتی SMB (مثلاً SMBv1 غیرفعال) را جدی بگیرید.
4.نظارت و تشخیص (Detection & Monitoring)
- دسترسیهای غیرعادی SMB را دنبال کنید
- لاگهای احراز هویت SMB / NTLM را بررسی کنید
- تحلیل رفتار شبکه: جلوی دادن دسترسی ناخواسته یا اتصال به سرورهای ناشناخته
- استفاده از ابزارهای EDR / SIEM برای تعریف قاعدههای تشخیص مرتبط با این نقص
5.تهدید تحلیل (Threat Hunting)
تیم امنیت باید بهصورت پیشگیرانه به دنبال نشانههای اولیه نفوذ (IOC) برای این نقص باشد؛ مثلاً اتصال SMB به سرور ناشناس یا احراز هویت مشکوک.
6.آگاهسازی و انتشار در داخل سازمان
اطلاعرسانی به واحدهای زیرساخت، شبکه و پشتیبانی و تکلیف فوری برای اجرای پچها ضروری است.
7.پشتیبانی از استراتژی پیشگیرانه بلندمدت
افزودن این نقص به لیست اولویتهای مدیریت آسیبپذیری (Vulnerability Management)، استفاده از تأمینکنندگان اشرافی (Vulnerability Scanners) و ارزیابیهای دورهای.
🧠 تشخیص حمله مبتنی بر SMB در SIEM
یکی از مهمترین گامها پس از انتشار آسیبپذیریهای بحرانی مانند CVE-2025-33073، اطمینان از قابلیت تشخیص (Detection Capability) در سامانههای SIEM و EDR است. در حملات مرتبط با SMB، مهاجم معمولاً سعی میکند از مسیرهای زیر برای نفوذ و ارتقای سطح دسترسی استفاده کند:
✔️ ایجاد یا باز کردن اتصال SMB به سرورهای غیرمعمول یا خارجی
✔️ ارسال درخواستهای SMB از سیستمهایی که معمولاً سرویسدهنده نیستند
✔️ اجرای دستورات یا ایجاد سرویسها با امتیاز SYSTEM پس از ارتباط SMB
✔️ سوءاستفاده از احراز هویت NTLM برای حرکت جانبی (Lateral Movement)
برای شناسایی این فعالیتها، میتوان از قواعد تشخیصی (Detection Rules) در SIEM یا ابزارهایی مانند Microsoft Sentinel، Splunk، QRadar یا Wazuh استفاده کرد.
📋 الگوهای تشخیص پیشنهادی (Detection Use Cases)
1️⃣ ارتباط SMB غیرعادی با مقصد ناشناخته
هرگاه کلاینت یا سروری در شبکه به مقصدی خارج از subnet داخلی از طریق پورتهای 445 یا 139 متصل شود، باید هشدار تولید شود.
نمونه کوئری (Splunk):
index=network sourcetype="stream:tcp" dest_port IN (445,139) | stats count by src_ip, dest_ip | where NOT cidrmatch("10.0.0.0/8", dest_ip)
2️⃣ احراز هویتهای SMB/NTLM غیرعادی
در صورتی که کاربری در مدت کوتاهی به چندین دستگاه مختلف از طریق SMB احراز هویت کند، احتمال حرکت جانبی وجود دارد.
نمونه کوئری (KQL – Microsoft Sentinel):
SecurityEvent | where EventID in (4624, 4625) | where AuthenticationPackageName == "NTLM" | summarize count() by Account, bin(TimeGenerated, 5m) | where count_ > 10
3️⃣ ایجاد سرویسهای مشکوک با دسترسی SYSTEM پس از اتصال SMB
مهاجمان پس از سوءاستفاده از SMB ممکن است سرویسهای جدید با دسترسی SYSTEM ایجاد کنند تا دسترسی خود را تثبیت کنند.
نمونه کوئری (Sigma Rule – Generic):
title: Suspicious Service Creation After SMB Connection logsource: product: windows category: process_creation detection: selection: Image|endswith: '\sc.exe' CommandLine|contains|all: - 'create' - 'binPath=' - 'SYSTEM' condition: selection
🧩 شاخصهای قابل بررسی (Indicators of Compromise - IoCs)
✔️ ارتباطهای SMB خروجی به IPهایی خارج از محدوده سازمانی
✔️ ورودهای مکرر از کاربران معمولی با احراز هویت NTLM
✔️ ایجاد سرویسهایی مانند svhost.exe یا winupdate.exe در مسیرهای غیرمعمول
✔️ فایلهای مشکوک در مسیر C:\Windows\Temp یا C:\ProgramData
✔️ افزایش ناگهانی ترافیک SMB بین چندین هاست در شبکه
⚙️ پیشنهاد عملی برای تیم SOC
✔️ تمام لاگهای SMB، NTLM و EventIDهای مرتبط با احراز هویت (۴۶۲۴، ۴۶۲۵، ۴۶۷۲) را در SIEM فعال نگه دارید.
✔️ هشدارهای SMB را با دادههای NetFlow یا Firewall Correlation ترکیب کنید تا دید جامعتری ایجاد شود.
✔️ از قابلیت behavioral detection یا UEBA (User and Entity Behavior Analytics) برای شناسایی انحراف از رفتار معمول کاربران استفاده کنید.
جمعبندی
نقص CVE-2025-33073 یکی از مهمترین مشکلات امنیتی اخیر در اکوسیستم ویندوز است: نقصی که فرض بر اینکه پچ شده است، اما اکنون در حملات واقعی مورد بهرهبرداری قرار میگیرد.
اگر سازمان شما هنوز واکنش نشان نداده و پچ نکرده، باید همین امروز دست به کار شوید. انتشار این خبر به تیمهای فنی خود، اطلاعرسانی و تکلیف اجرای فوری پچها را فراموش نکنید.
سوالات پرتکرار
✔️ CVE-2025-33073 چیست؟
پاسخ: یک آسیبپذیری بحرانی در پیادهسازی پروتکل SMB ویندوز که امکان ارتقای سطح دسترسی به SYSTEM را فراهم میکند و توسط مهاجمان در حملات واقعی مورد سوءاستفاده قرار گرفته است.
✔️ آیا همه نسخههای ویندوز تحتتأثیر هستند؟
پاسخ: نسخههای پشتیبانیشده ویندوز سرور، ویندوز ۱۰ و ویندوز ۱۱ (تا 24H2) در معرض خطر قرار دارند؛ توصیه میشود همانروی فوراً آخرین پچ را نصب کنید.
✔️ چه اقدام فوری باید انجام دهیم؟
پاسخ: بهروزرسانی همهٔ سیستمها با پکیج ژوئن ۲۰۲۵ مایکروسافت، محدودسازی دسترسی SMB به شبکههای امن، و تعریف قواعد تشخیصی در SIEM/EDR.
✔️ چگونه میتوانم متوجه شوم که شبکهام مورد سوءاستفاده قرار گرفته؟
پاسخ: دنبال اتصالهای SMB به سرورهای ناشناس، احراز هویتهای ناگهانی NTLM، و رفتارهای غیرعادی که نشانگر حرکت جانبی یا اجرای فرامین با امتیاز بالا است بگردید.
