در هفتههای اخیر، مجموعهای از آسیبپذیریهای مهم در سیستمعاملهای ویندوز و لینوکس شناسایی و گزارش شده است. این ضعفها، شامل آسیبپذیریهای Kernel، ارتقای سطح دسترسی (Privilege Escalation) و اجرای کد از راه دور (RCE) بوده و برخی از آنها در حملات واقعی مورد سوءاستفاده قرار گرفتهاند.
عدم بهروزرسانی این ضعفها میتواند مهاجم را قادر سازد تنها با یک دسترسی اولیه، کنترل کامل سامانه را به دست گیرد.
این گزارش عملیاتی به شما کمک میکند تا بدانید:
✔️ کدام تهدیدها در اولویت هستند
✔️ چگونه نشانههای نفوذ را تشخیص دهید
✔️ چه دادههایی باید جمعآوری شود
✔️ اقدامات لازم برای Patch و Hardening چیست
🎯 خلاصه مدیریتی (Executive Summary)
|
اولویت |
نوع آسیبپذیری |
سیستمها |
زمان اقدام |
|
🔴 فوری |
Privilege Escalation فعال |
ویندوز، لینوکس |
زیر ۲۴ ساعت |
|
🔴 فوری |
RCE بدون تعامل کاربر |
Windows Server / Active Directory |
زیر ۲۴ ساعت |
|
🟡 بالا |
نشتی اطلاعات کرنل و Core Dumps |
لینوکس |
۷۲ ساعت |
|
🟢 متوسط |
ضعف در سیاستهای SIEM و Hunting |
هر دو |
تا یک هفته |
ترتیببندی زیر به تیمهای امنیتی کمک میکند تا در مواجهه با آسیبپذیریهای تازه، منابع را روی تهدیدهای حیاتی متمرکز کنند. هدف این رویکرد، جلوگیری سریع از سوءاستفاده واقعی، کاهش سطح حمله در سرویسهای حساس و سپس ایمنسازی لایههای دسترسی و افشای داده است، بهطوری که هم زمان واکنش کوتاهمدت و هم پایداری بلندمدت تضمین شود.
✔️ Zero-day ها / آسیبپذیریهایی که بطور واقعی مورد سوءاستفاده قرار گرفتهاند
اقدامات لازم: دربالاترین اولویت اقدام هستند و بایستی بلافاصله patch اعمال کنید یا در صورت عدم امکان، host های آسیبپذیر را ایزوله کنید (network isolation) و قوانین ACL /فایروال را برای محدودسازی دسترسی اعمال کنید.
✔️ RCEهای شبکهای (Remote Code Execution) که نیاز به تعامل کاربر ندارند
اقدامات لازم: فوریت بسیار بالاست. سریعاً patch اعمال کنید، دسترسی سرویسها را از اینترنت قطع کنید یا ترافیک آنها را پشت WAF/IPS قرار دهید و لاگگذاری و مانیتورینگ را افزایش دهید.
✔️ Privilege Escalationهای محلی روی سرویسهای عمومی (مثلاً sudo، glibc، CLFS)
اقدامات لازم: فوراً بررسی و patch اعمال کنید. از اجرای باینریهای setuid جلوگیری کنید، دسترسی کاربران را محدود کنید و بررسی کنید چه سرورهایی چندکاربره یا عمومی هستند تا ابتدا محافظت شوند.
✔️ آسیبپذیریهای افشای اطلاعات محلی (core-dump handlers و مشابه)
اقدامات لازم: مهم برای سناریوی داشتن دسترسی اولیه محلی . patch بستههای مربوطه، تولید core dump برای باینریهای حساس را غیرفعال یا محدود کنید (مثلاً suid_dumpable=0) و دسترسی به دایرکتوریهای dump را محدود نمایید.
🪟 آسیبپذیریهای ویندوز - پاییز 1404
🔴 CLFS Privilege Escalation (استفاده در حملات فعال)
✔️ سیستمها: Windows Server / Desktop
✔️ اثر: ارتقای دسترسی مهاجم از سطح کاربر به SYSTEM
✔️ نوع : Kernel / EoP
✔️ سناریوی مشاهدهشده: استفاده در حملات APT برای ایجاد ماندگاری (Persistence) پس از نفوذ اولیه
اقدامات فوری
✔️ اعمال Patchهای امنیتی اکتبر و نوامبر ۲۰۲۵ مایکروسافت
✔️ فعالسازی Script Block Logging در EDR
✔️ پایش تغییرات مشکوک در Service Control Manager
کوئری تشخیصی در SIEM
index=wineventlog EventCode IN (4672,4673,4624) | eval type=case(EventCode==4672,"PrivGrant", EventCode==4673,"PrivUse", EventCode==4624,"Logon") | stats count by Account_Name, Logon_Type, Workstation_Name | where Logon_Type IN (2,10) AND count>5
قانون Sysmon پیشنهادی
<EventFiltering> <ProcessAccess onmatch="include"> <CallTrace condition="contains">CLFS</CallTrace> </ProcessAccess> </EventFiltering>
🟡 RDS/RDG RCE – حمله به Remote Desktop Gateway
✔️ اثر: اجرای کد از راه دور بدون تعامل کاربر
✔️ هدف مهاجم: نفوذ به DC و گسترش در شبکه
اقدامات کاهش آسیب
✔️ محدودسازی دسترسی RDP فقط از طریق VPN/Zero Trust
✔️ فعالسازی MFA روی RDG
✔️ اجباریسازی NLA
تشخیص در SIEM
index=wineventlog EventCode=4625 Logon_Type=10 | stats count by Source_Network_Address | where count > 10
🐧 آسیبپذیریهای لینوکس – پاییز 2025
🔴 glibc / sudo Privilege Escalation
✔️ اثر: ارتقای دسترسی کاربر معمولی به Root
✔️ سیستمها: Ubuntu, Debian, RHEL نسخههای بدون Patch نوامبر
راهکار موقت
sudo sysctl -w fs.suid_dumpable=0 sudo chmod600 /var/lib/systemd/coredump/*
دستورات Hunting
grep -R "core" /etc/security /proc/sys/fs journalctl -u systemd-coredump --since "7days ago"
🟡 Leakage در Kernel Debugging و Core Dumps
✔️ اثر: نشت اطلاعات حافظه و احتمال افشای Credentials
راهکار موقت
echo "kernel.core_pattern=|/bin/false" | sudo tee -a /etc/sysctl.conf sudo sysctl -p
کوئری SIEM
index=syslog ("coredump" OR "dumped core") | stats count by host, process | where count > 2
🧭 چارچوب MITRE ATT&CK
|
مرحله |
تکنیک ATT&CK |
|
Initial Access |
T1078 - Valid Accounts |
|
Privilege Escalation |
T1068 - Kernel Exploit |
|
Defense Evasion |
T1611 - Disable Security Tools |
|
Credential Access |
T1003 - Credential Dumping |
|
Persistence |
T1574 - Hijack Execution Flow |
🧪 شاخصهای نفوذ (IOCs)
|
شاخص |
نمونه |
|
ایجاد سرویس مشکوک در ویندوز |
sc.exe create *shadow* |
|
افزایش Core Dumps |
/var/lib/systemd/coredump |
|
RDP مشکوک |
EventID 4624/4625 با LogonType=10 |
|
پروسههای غیرعادی Kernel |
kworker با مصرف CPU بالا |
🛠 چکلیست Patch & Hardening
ویندوز
✔️ نصب آخرین آپدیت تجمیعی
✔️ فعالسازی WDAC و ASR
MFA + NLA ✔️برای RDP
✔️ فعالسازی Sysmon + ScriptBlockLogging
لینوکس
✔️ بهروزرسانی glibc و sudo
✔️ غیرفعالسازی Core Dumps
✔️ فعالسازی SELinux/AppArmor
✔️ تنظیم Rate Limit در journald
📂 پاسخگویی به حادثه (IR Runbook)
|
بازه زمانی |
اقدام |
|
۱۵ دقیقه |
بررسی لاگهای دسترسی سطح بالا |
|
۱ ساعت |
قطع دسترسیهای RDP غیرضروری |
|
۲ ساعت |
بررسی Memory Dump در DC |
|
۲۴ ساعت |
نصب Patch و ریبوت |
|
۷۲ ساعت |
بازبینی سیاستهای SIEM و EDR |
✅ جمعبندی
بررسیها نشان میدهد تمرکز مهاجمان در این دوره بر Privilege Escalation و Lateral Movement است. نه صرفاً دسترسی اولیه. تنها Patch کافی نیست بلکه پایش امنیتی و لاگینگ دقیق نیز ضروری است.
