زیرو دیهای ویندوز حالا در حملات واقعی استفاده میشوند
سه آسیب پذیری امنیتی تازه افشاشده در ویندوز از مرحله کد اثبات مفهوم عبور کردهاند و حالا در حملات واقعی دیده شدهاند. طبق یافتههای جدید Huntress، این موضوع مهم است چون برای دو مورد هنوز وصله کامل مایکروسافت منتشر نشده و مورد سوم هم تازه در به روزرسانیهای آوریل برطرف شده است.
مهاجمان از چه چیزی استفاده میکنند
این فعالیت حول سه تکنیک بهره برداری میچرخد که توسط پژوهشگری منتشر شد که روند افشای مایکروسافت را نقد کرده بود. دو مورد Microsoft Defender را برای افزایش سطح دسترسی محلی هدف میگیرند و مورد دیگر به کاربر عادی اجازه میدهد بهروزرسانی امضاهای Defender را مختل کند.
Huntress میگوید هر سه تکنیک را در حملات واقعی مشاهده کرده است. در یکی از نفوذها، این اکسپلویتها در کنار فعالیت مستقیم مهاجم پس از سوءاستفاده از یک حساب SSL VPN دیده شدند.
چرا این خبر مهم است
نکته اصلی فقط عمومی شدن کد نیست، بلکه این است که مهاجمان عملا از آن استفاده میکنند. یکی از این نقصها با شناسه CVE-2026-33825 و نام BlueHammer وصله شده، اما دو مورد دیگر که معمولا RedSun و UnDefend نامیده میشوند هنوز بدون رفع کامل باقی ماندهاند.
این یعنی حتی سازمانهایی که وصلههای Patch Tuesday را سریع نصب میکنند هم ممکن است همچنان در معرض خطر باشند، بهخصوص اگر مهاجم بعد از دسترسی اولیه این تکنیکها را زنجیرهای اجرا کند.
ادمینها الان چه کاری انجام دهند
تیمهای امنیتی باید این وضعیت را یک ریسک فعال برای افزایش سطح دسترسی بدانند، نه یک آزمایش تئوری. بررسی هشدارهای اخیر روی endpoint ها، سختگیری بیشتر روی نقاط ورود راه دور مثل حسابهای VPN و پایش نشانههای دستکاری Defender یا ارتقای غیرمنتظره به SYSTEM باید در اولویت باشد.
تا زمانی که مایکروسافت برای مشکلات باقی مانده وصله منتشر کند، دید مناسب و مهار سریع از همیشه مهمتر است. برای مدیران ویندوز، این همان لحظهای است که سختسازی هویت و مانیتورینگ endpoint میتواند جلوی یک نفوذ عمیقتر را بگیرد.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source