iفین تک (ای فین تک - آی فین تک)

هشدار امنیتی مایکروسافت

مایکروسافت در آخرین بولتن امنیتی خود، نسبت به کشف یک آسیب‌پذیری بحرانی با شناسه CVE-2025-24054 هشدار داد. این حفره امنیتی، که در نسخه‌های مختلف ویندوز وجود دارد، به مهاجمان اجازه می‌دهد تا بدون تعامل مستقیم با قربانی، به اعتبارنامه‌های NTLM دسترسی پیدا کنند؛ یک روش رایج برای احراز هویت در شبکه‌های ویندوزی.

تحلیل ای فین‌تک نشان می‌دهد که این آسیب‌پذیری پتانسیل بالایی برای بهره‌برداری گسترده در حملات سازمان‌یافته دارد و شرکت‌ها و کاربران خانگی باید فوراً اقدامات اصلاحی انجام دهند.

جزئیات فنی آسیب‌پذیری

CVE-2025-24054 نوعی Relay Attack را ممکن می‌سازد که در آن مهاجم می‌تواند با استفاده از یک سیستم میانجی، داده‌های احراز هویت NTLM را از ماشین قربانی گرفته و به سیستم هدف ارسال کند. این فرآیند بدون نیاز به دانستن رمز عبور یا تعامل کاربر صورت می‌گیرد.

این آسیب‌پذیری در پروتکل SMB Signing و مکانیسم‌های تأیید اعتبار ویندوز کشف شده که از نسخه‌های Windows 10 تا Windows Server 2022 را تحت‌تأثیر قرار می‌دهد. نکته نگران‌کننده این است که این ضعف امنیتی هم‌اکنون در فضای واقعی مورد بهره‌برداری قرار گرفته و حملات ثبت‌شده علیه شرکت‌های بزرگ و نهادهای دولتی گزارش شده‌اند.

چگونه این حمله انجام می‌شود؟

به‌طور خلاصه، مهاجم از طریق یکی از روش‌های زیر می‌تواند حمله را آغاز کند:

ایجاد یک سرور SMB جعلی در شبکه.

هدایت ترافیک قربانی به این سرور جعلی از طریق DNS poisoning یا فیشینگ.

دریافت و ذخیره توکن NTLM ارسال‌شده توسط قربانی.

ارسال این توکن به یک سرور واقعی و تأیید اعتبار موفق بدون دانستن رمز.

بر اساس آزمایش‌های انجام‌شده توسط محققان شرکت Huntress Labs، این حمله تنها در چند ثانیه قابل اجراست و در بسیاری از سیستم‌ها بدون لاگ ثبت‌شده باقی می‌ماند.

واکنش مایکروسافت و توصیه‌های امنیتی

مایکروسافت در پاسخ به این تهدید، به‌روزرسانی‌های امنیتی فوری را منتشر کرده است. در اطلاعیه رسمی، شرکت اعلام کرده که فعال‌سازی SMB Signing و غیرفعالسازی پروتکل‌های قدیمی احراز هویت می‌تواند از سوءاستفاده جلوگیری کند.

تحلیل آی فین‌تک نشان می‌دهد که بسیاری از سازمان‌ها هنوز از ساختارهای قدیمی NTLM استفاده می‌کنند و گذار کامل به Kerberos یا سایر پروتکل‌های مدرن انجام نشده است. این امر آسیب‌پذیری آن‌ها را دوچندان می‌کند.

پیامدهای احتمالی برای شرکت‌ها و کاربران

در صورت موفقیت‌آمیز بودن این حمله، مهاجم می‌تواند:

وارد سامانه‌های داخلی سازمان شود.

داده‌های حساس از جمله ایمیل‌ها و اسناد را استخراج کند.

کنترل شبکه یا سرورهای حیاتی را در اختیار گیرد.

حملات باج‌افزاری را به‌صورت داخلی آغاز کند.

این مسئله می‌تواند پیامدهای جبران‌ناپذیری برای نهادهای حساس از جمله بانک‌ها، شرکت‌های فناوری و زیرساخت‌های حیاتی داشته باشد.

هشدارهای بین‌المللی و گزارش‌های سوءاستفاده

نهادهای امنیتی ایالات متحده از جمله CISA، این آسیب‌پذیری را در لیست تهدیدات فوری قرار داده‌اند و از تمامی سازمان‌های فدرال خواسته‌اند تا پیش از پایان ماه آوریل، اقدامات اصلاحی را اجرا کنند.

همچنین گزارش‌هایی از سوءاستفاده از این آسیب‌پذیری در حملات هدفمند به بیمارستان‌ها و دانشگاه‌ها در اروپا نیز منتشر شده است.

راهکارهای پیشنهادی برای کاهش ریسک

به گزارش آی فین‌تک، برای کاهش خطر این آسیب‌پذیری توصیه می‌شود:

به‌روزرسانی فوری سیستم‌عامل ویندوز و نصب وصله‌های امنیتی.

فعال‌سازی SMB Signing در تمامی ماشین‌های شبکه.

غیرفعالسازی احراز هویت NTLM در صورت امکان.

آموزش کارکنان در زمینه حملات مبتنی بر فیشینگ و تعاملات مشکوک.

استفاده از فایروال و ابزارهای تشخیص نفوذ پیشرفته.

 امنیت در لایه‌های پنهان

CVE-2025-24054 نمونه‌ای دیگر از چالش‌های امنیتی پنهان در زیرساخت‌های قدیمی است. همان‌طور که تحلیل ای فین‌تک نشان می‌دهد، مهاجمان دیگر نیاز به راهکارهای پیچیده ندارند؛ تنها یک آسیب‌پذیری و یک شبکه ناسازگار کافی است. این تهدید می‌تواند زنگ خطری جدی برای تمامی سازمان‌هایی باشد که به امنیت شبکه داخلی خود توجه کافی ندارند.

در جهان پیچیده امروز، امنیت دیجیتال نه یک گزینه، بلکه یک ضرورت حیاتی است.
مطالعه تحلیل‌های بیشتر در i-fintech.ir