به‌ روزرسانی‌ Patch Tuesday ماه ژانویه ۲۰۲۵ مایکروسافت

مایکروسافت، چهاردهم ژانویه ۲۰۲۵ در اولین دوره به روزرسانی Patch Tuesday خود در سال جدید، ۱۶۱ آسیب ‌پذیری را در سراسر مجموعه نرم‌افزاری خود پچ کرده است از جمله سه آسیب ‌پذیری روز صفر که به طور فعال مورد اکسپلویت قرار گرفته‌اند.

از میان این ۱۶۱ آسیب پذیری، ۱۱ مورد آنها از نظر شدت در دسته بحرانی و ۱۴۹ مورد در دسته مهم قرار گرفته‌اند و یک مورد هم که دارای CVE غیر مایکروسافت مربوط به بای پس بوت امن ویندوز (CVE-2024-7344) است، هیچ شدتی برای آن تعیین نشده است.

این اصلاحات علاوه بر هفت آسیب ‌پذیری می‌باشند که مایکروسافت در مرورگر Edge مبتنی بر Chromium خود از زمان انتشار به‌روزرسانی‌های Patch Tuesday دسامبر ۲۰۲۴، برطرف کرده است.

از سوی دیگر، سه آسیب ‌پذیری در Hyper-V NT Kernel VSP ویندوز (CVE-2025-21333، CVE-2025-21334 و CVE-2025-21335) وجود دارد که مورد اکسپلویت قرار گرفته‌اند. مهاجمی که با موفقیت از این آسیب ‌پذیری‌ها سوء استفاده کند، می‌تواند سطح دسترسی SYSTEM را به دست آورد.

VSP بخشی از معماری سرویس یکپارچه سازی Hyper-V ویندوز است. این معماری به گونه‌ای طراحی شده است که تعاملات بین سیستم‌عامل Guest و Host را در محیط مجازی Hyper-V بهینه می‌کند.

CVE-2025-21333، CVE-2025-21334 و CVE-2025-21335 هر سه به مهاجم لوکال با سطح دسترسی پایین اجازه می‌دهند تا به دسترسی SYSTEM دست یابد و کنترل کامل بر روی زیرساخت مجازی‌سازی، از جمله ماشین‌های مجازی و داده‌های مدیریت ‌شده توسط میزبان Hyper-V آسیب پذیر، به‌دست آورد.

CVE-2025-21333 و CVE-2025-21334 به‌عنوان یک سرریز بافر مبتنی بر Heap دسته‌بندی می‌شوند اما CVE-2025-21335 در دسته آسیب پذیری‌های Use-After-Free قرار دارد. هر سه آسیب پذیری در  Patch Tuesday این دوره پچ شده‌اند.

سوء استفاده از Hyper-V NT Kernel Integration VSP ویندوز باعث شده است که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، این سه آسیب پذیری را به لیست کاتالوگ آسیب پذیری‌های مورد سوء استفاده شناخته شده (KEV) خود اضافه کند و آژانس‌های فدرال را ملزم به اعمال اصلاحات تا ۴ فوریه ۲۰۲۵ نماید.

ردموند نیز به طور جداگانه در خصوص پنج آسیب پذیری مهم دیگر هشدار داده است که به شرح زیر می‌باشند:

• CVE-2025-21186, CVE-2025-21366 و CVE-2025-21395: سه آسیب پذیری (امتیاز CVSS: 7.8) اجرای کد از راه دور در  Microsoft Access، سیستم مدیریت پایگاه داده مایکروسافت می‌باشند که به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه می‌دهند تا کد دلخواه را بر روی سیستم هدف اجرا کند. به منظور اکسپلویت این سه آسیب ‌پذیری، مهاجم می‌بایست کاربر را متقاعد سازد تا یک فایل مخرب را باز کند. مایکروسافت این سه آسیب ‌پذیری را به‌عنوان سرریز بافر مبتنی بر Heap  دسته‌بندی کرده است. کشف هر سه آسیب پذیری توسط ai، یک پلتفرم کشف آسیب‌ پذیری مبتنی بر هوش مصنوعی، انجام شده است.
• CVE-2025-21275، یک آسیب پذیری (امتیاز CVSS: 7.8) افزایش سطح دسترسی در نصب کننده پکیج اپلیکیشن (App Package Installer)، ابزار نصب پکیج‌های برنامه در ویندوز است. این آسیب ‌پذیری به مهاجم لوکال با سطح دسترسی پایین اجازه می‌دهد تا به سطح دسترسی SYSTEM ارتقاء یابد. مایکروسافت این آسیب ‌پذیری را به‌عنوان یک نقص امنیتی در مجوزدهی نادرست (Improper Authorization) دسته‌بندی کرده است.
• CVE-2025-21308، یک آسیب پذیری (امتیاز CVSS: 6.5) جعل تِم (Themes Spoofing) ویندوز است. این آسیب ‌پذیری به مهاجم اجازه می‌دهد تا اطلاعات حساس مانند هش‌های NTLM را از طریق نمایش یک فایل تم مخرب در ویندوز اکسپلورر بدست آورد. مهاجم به منظور اکسپلویت این آسیب ‌پذیری، می‌بایست کاربر را متقاعد سازد تا فایل تم مخرب را بارگذاری کند و سپس کاربر را به ایجاد تغییر در آن فایل ترغیب نماید.

آسیب ‌پذیری CVE-2025-21308  قبلاً توسط 0patch به عنوان یک بای پس برای CVE-2024-38030 مشخص شده بود.Micropatch  این آسیب ‌پذیری در اکتبر ۲۰۲۴ منتشر شد.

Patch Tuesday این دوره (ژانویه ۲۰۲۵) به دلیل برطرف کردن پنج نقص امنیتی مهم، حائز اهمیت می‌باشد:

• CVE-2025-21294 (امتیاز CVSS: 8.1) – آسیب پذیری اجرای کد از راه دور در مکانیزم احراز هویت Microsoft Digest.
• CVE-2025-21295 (امتیاز CVSS: 8.1) – آسیب پذیری اجرای کد از راه دور در مکانیزم امنیتی SPNEGO Extended Negotiation (NEGOEX)
• CVE-2025-21298 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد از راه دور در [1]OLE ویندوز.
• CVE-2025-21307 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد از راه دور در درایور [2]RMCAST ویندوز.
• CVE-2025-21311 (امتیاز CVSS: 9.8) – آسیب پذیری افزایش سطح دسترسی در NTLM V1 ویندوز.

مایکروسافت در بولتن امنیتی خود برای CVE-2025-21298 اعلام کرد که یک مهاجم می‌تواند در سناریوی حمله با ارسال ایمیل ساخته ‌شده ویژه برای قربانی از این آسیب‌ پذیری سوء استفاده کند.

سوءاستفاده از این آسیب‌ پذیری ممکن است شامل باز کردن یک ایمیل خاص توسط قربانی با نسخه آسیب پذیر نرم‌افزار Microsoft Outlook  باشد و یا برنامه Outlook قربانی که پیش‌نمایش یک ایمیل ساخته ‌شده خاص را نشان می‌دهد. اکسپلویت این آسیب‌ پذیری می‌تواند منجر به اجرای کد از راه دور توسط مهاجم در دستگاه قربانی شود.

به منظور محافظت در برابر این آسیب‌ پذیری، توصیه می‌شود که کاربران پیام‌های ایمیل را در قالب متن ساده بخوانند. همچنین استفاده از Microsoft Outlook را برای کاهش خطر باز کردن فایل‌های RTF از منابع ناشناخته یا نامعتبر توسط کاربران توصیه می‌شود.

آسیب ‌پذیری CVE-2025-21295 نیز در مکانیزم امنیتی SPNEGO Extended Negotiation (NEGOEX) به مهاجمان احراز هویت نشده اجازه می‌دهد تا کدهای مخرب را از راه دور بر روی سیستم‌های آسیب پذیر و بدون تعامل با کاربر اجرا کنند.

با وجود آن که اکسپلویت این آسیب پذیری پیچیده می‌باشد اما بهره‌برداری موفق از آن می‌تواند با تضعیف لایه مکانیزم امنیتی اصلی، به طور کامل زیرساخت‌های سازمانی را به خطر بیاندازد و منجر به افشای احتمالی داده‌ها شود.

مایکروسافت در خصوص  CVE-2025-21294نیز اذعان داشت که یک مهاجم می‌تواند با اتصال به سیستمی که به digest  احراز هویت نیاز دارد، از این آسیب ‌پذیری با موفقیت سوء استفاده کند. اکسپلویت این آسیب پذیری مستلزم اجرای race condition یا شرایط رقابتی برای ایجاد یک سناریوی use-after-free و سپس استفاده از آن برای اجرای کد دلخواه می‌باشد.

Microsoft Digest یکی از مکانیزم‌های احراز هویت است که در پروتکل‌های شبکه‌ای مانند HTTP برای اعتبارسنجی و تأیید هویت کاربران به کار می‌رود. این روش از الگوریتم‌های هش برای محافظت از اطلاعات احراز هویت استفاده می‌کند و به‌عنوان یکی از روش‌های جایگزین برای Basic Authentication در HTTP مطرح است. این روش با استفاده از یک هش رمزنگاری شده و یک چالش (challenge) برای جلوگیری از ارسال اطلاعات حساس مانند پسورد به صورت متن ساده، امنیت بیشتری ارائه می‌دهد.

در میان این آسیب ‌پذیری‌ها، یک نقص افشای اطلاعات (CVE-2025-21210، امتیاز CVSS: 4.2) نیز وجود دارد که بر روی BitLocker ویندوز تأثیر می‌گذارد. این آسیب ‌پذیری نیاز به دسترسی فیزیکی به دستگاه دارد و در صورت بهره‌برداری موفق، می‌تواند منجر به افشای اطلاعات محافظت ‌شده توسط BitLocker شود.

پچ‌های نرم افزاری ارائه شده از سوی سایر فروشندگان

علاوه بر مایکروسافت، به‌ روزرسانی‌های امنیتی توسط سایر فروشندگان نیز در چند هفته گذشته برای اصلاح چندین آسیب ‌پذیری منتشر شده است، از جمله:

• Adobe
• Amazon Web Services
• Arm
• ASUS
• Broadcom  (شامل VMware)
• Cisco
• D-Link
• Dell
• Drupal
• F5
• Fortinet
• Fortra
• GitHub
• GitLab
• Google Android  و  Pixel
• Google Chrome
• Google Cloud
• HP
• HP Enterprise (شامل  Aruba Networking)
• Huawei
• IBM
• Imagination Technologies
• Ivanti
• Juniper Networks
• Lenovo
• توزیع‌های لینوکس  Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE و Ubuntu
• MediaTek
• Moxa
• Mozilla Firefox, Firefox ESR, and Thunderbird
• NVIDIA
• Palo Alto Networks
• Phoenix Technologies
• Qualcomm
• Rockwell Automation
• Rsync
• Salesforce
• Samsung
• SAP
• Schneider Electric
• Siemens
• SimpleHelp
• SonicWall
• Splunk
• Veeam
• Zoho ManageEngine
• Zoom
• Zyxel

[1] Object Linking and Embedding

[2] Reliable Multicast Transport Driver

منابع