آژانس امنیت سایبری و زیرساخت آمریکا (CISA) و آژانس امنیت ملی (NSA) در همکاری با نهادهای همکار از استرالیا و کانادا، راهنمایی فوری برای افزایش امنیت نسخههای on-premise سرور Microsoft Exchange منتشر کردند تا از سوءاستفادههای احتمالی جلوگیری شود.
CISA اعلام کرد:
«با محدودسازی دسترسی مدیریتی، فعالسازی احراز هویت چندمرحلهای، اعمال تنظیمات سختگیرانه در امنیت ارتباطات (TLS/HSTS) و پیادهسازی اصول مدل امنیتی Zero Trust، سازمانها میتوانند دفاع سایبری خود را به شکل چشمگیری تقویت کنند.»
🎯 تهدید مداوم علیه Microsoft Exchange
به گفتهی این نهادها، فعالیتهای مخرب علیه Microsoft Exchange Server همچنان ادامه دارد و سرورهای محافظتنشده یا دارای پیکربندی اشتباه، هدف اصلی حملات هستند.
CISA توصیه کرده سازمانها سرورهای on-premise یا hybrid منسوخشده را پس از مهاجرت به Microsoft 365 از رده خارج کنند.
🧱 مهمترین اقدامات امنیتی پیشنهادی:
بهروزرسانی و patch منظم امنیتی
مهاجرت از سرورهای قدیمی Exchange
اطمینان از فعالبودن سرویس Exchange Emergency Mitigation Service
اعمال Baseline امنیتی برای Exchange، Windows و کلاینتهای ایمیل
فعالسازی آنتیویروس، AMSI، ASR، AppLocker، EDR و قابلیت ضداسپم/ضدمالور Exchange
محدودسازی دسترسی مدیریتی به Exchange Admin Center (EAC) و PowerShell از راه دور
تقویت احراز هویت و رمزنگاری با تنظیمات TLS، HSTS، Extended Protection، Kerberos و MFA
غیرفعال کردن PowerShell از راه دور برای کاربران در Exchange Management Shell (EMS)
CISA تأکید کرد:
«ایمنسازی سرورهای Exchange برای حفظ یکپارچگی و محرمانگی ارتباطات سازمانی حیاتی است. بررسی و تقویت مداوم وضعیت امنیتی این سرورها لازمهی مقابله با تهدیدات در حال تکامل است.»
⚠️ بهروزرسانی CISA درباره CVE-2025-59287
این هشدار تنها یک روز پس از انتشار بهروزرسانی جدید CISA در مورد آسیبپذیری CVE-2025-59287 صادر شد — نقصی تازه re-patched در مؤلفهی Windows Server Update Services (WSUS) که میتواند منجر به Remote Code Execution شود.
CISA توصیه کرده سازمانها:
سرورهای آسیبپذیر را شناسایی و patch خارج از برنامهی مایکروسافت را نصب کنند؛
نشانههای فعالیت مشکوک در شبکه را بررسی کنند، از جمله:
فرآیندهای مشکوک با دسترسی SYSTEM-level که از فایلهای
wsusservice.exeیاw3wp.exeاجرا میشوند؛فرآیندهای PowerShell تو در تو با دستورات Base64-encoded.
🧨 سوءاستفاده فعال از آسیبپذیری WSUS
به گفتهی Sophos، مهاجمان از این آسیبپذیری برای سرقت دادههای حساس از سازمانهای آمریکایی در حوزههای مختلف — از دانشگاه و فناوری گرفته تا تولید و سلامت — استفاده میکنند.
اولین فعالیتهای exploit در ۲۴ اکتبر ۲۰۲۵ (یک روز پس از انتشار patch مایکروسافت) شناسایی شده است.
در این حملات، مهاجمان از سرورهای آسیبپذیر WSUS برای اجرای دستورات PowerShell Base64-encoded استفاده کرده و نتایج را به یک سرور webhook.site ارسال کردهاند.
گزارشهای مشابه از Darktrace، Huntress و Palo Alto Networks Unit 42 نیز این موضوع را تأیید کردهاند.
به گفتهی Sophos، تاکنون شش حادثه تأییدشده در محیط مشتریان این شرکت شناسایی شده، اما تحقیقات بیشتر حداقل ۵۰ قربانی را نشان میدهد.
«این فعالیتها نشان میدهد مهاجمان بسیار سریع عمل کردند تا از این آسیبپذیری بحرانی در WSUS برای جمعآوری دادههای ارزشمند سوءاستفاده کنند. ممکن است این مرحله هنوز فاز اولیهی شناسایی باشد.»
— Rafe Pilling، مدیر واحد Threat Intelligence در Sophos CTU
او افزود که فعلاً موج گستردهی جدیدی مشاهده نشده، اما این یک هشدار زودهنگام است و سازمانها باید مطمئن شوند سیستمها کاملاً patch شدهاند و پیکربندی WSUS ایمن است.
💡 نکته فنی: زنجیره حملهی عمیقتر از حد انتظار
Michael Haag، محقق امنیتی شرکت Splunk (زیرمجموعه Cisco)، در X نوشت که آسیبپذیری CVE-2025-59287 از حد انتظار عمیقتر است.
او یک زنجیره حملهی جایگزین را کشف کرده که از فایل mmc.exe (Microsoft Management Console) برای اجرای cmd.exe هنگام بازکردن WSUS Admin Console یا کلیک روی گزینه «Reset Server Node» استفاده میکند.
این مسیر موجب رخداد Event Log شماره 7053 میشود — دقیقاً همان موردی که تیم Huntress در فایلC:\Program Files\Update Services\Logfiles\SoftwareDistribution.log مشاهده کرده بود.
