سوءاستفاده فعال از Microsoft Defender

شرکت مایکروسافت اخیراً از دو آسیب‌پذیری مهم و در حال سوءاستفاده در Microsoft Defender پرده برداشته است؛ موضوعی که بار دیگر نگرانی‌ها درباره امنیت راهکارهای حفاظتی پیش‌فرض Windows را افزایش داده است. نکته قابل توجه این است که هر دو آسیب‌پذیری پیش از انتشار اصلاحیه، در حملات واقعی مورد بهره‌برداری مهاجمان قرار گرفته‌اند.

جزئیات آسیب‌پذیری‌های جدید Microsoft Defender

مهم‌ترین آسیب‌پذیری اعلام‌شده با شناسه CVE-2026-41091، یک نقص افزایش سطح دسترسی (Elevation of Privilege) با امتیاز 7.8 است که به مهاجم اجازه می‌دهد سطح دسترسی SYSTEM را روی سیستم قربانی به دست آورد. این آسیب‌پذیری ناشی از ضعف در سازوکار پردازش لینک‌ها و دسترسی به فایل‌ها در Microsoft Defender است؛ به‌عبارت دیگر، مهاجم می‌تواند با سوءاستفاده از فرآیند Link Following کنترل کامل سیستم را در اختیار بگیرد.

در کنار آن، آسیب‌پذیری دیگری با شناسه CVE-2026-45498 نیز در Defender شناسایی شده که از نوع Denial of Service (DoS) است و امکان از کار انداختن سرویس حفاظتی را فراهم می‌کند. اگرچه شدت این نقص پایین‌تر ارزیابی شده، اما سوءاستفاده همزمان از آن در کنار آسیب‌پذیری‌های دیگر می‌تواند فرآیند دفاعی سیستم را مختل کند.

سوءاستفاده فعال مهاجمان از Defender

طبق گزارش‌ها، توضیحات فنی این دو آسیب‌پذیری شباهت زیادی با دو Zero-Day معروف با نام‌های RedSun و UnDefend دارد که فروردین ماه توسط گروه تحقیقاتی Chaotic Eclipse افشا شده بودند.

چرا آسیب‌پذیری Defender نگران‌کننده است؟

نگرانی اصلی از آنجا ناشی می‌شود که Microsoft Defender به‌عنوان راهکار امنیتی پیش‌فرض Windows روی میلیون‌ها سیستم فعال است. بسیاری از سازمان‌ها نیز بدون استفاده از محصولات امنیتی مکمل، تنها به Defender اتکا می‌کنند. در چنین شرایطی، وجود آسیب‌پذیری در این مؤلفه می‌تواند سازوکار دفاعی سیستم را به نقطه ورود مهاجمان تبدیل کند.

آسیب‌پذیری RCE جدید در Microsoft Defender

علاوه بر این، مایکروسافت یک آسیب‌پذیری بحرانی دیگر با شناسه CVE-2026-45584 را نیز در Defender اصلاح کرده است. این نقص از نوع Heap-based Buffer Overflow بوده و می‌تواند به اجرای از راه دور کد (Remote Code Execution) منجر شود. هرچند تاکنون گزارشی از سوءاستفاده فعال آن منتشر نشده، اما شدت بالای آسیب‌پذیری نشان می‌دهد که احتمال تبدیل آن به یک حمله گسترده در آینده وجود دارد.

توصیه‌های امنیتی برای سازمان‌ها و مدیران سیستم

مایکروسافت اعلام کرده اصلاحیه‌های این آسیب‌پذیری‌ها در نسخه‌های 1.1.26040.8 و 4.18.26040.7 از Microsoft Defender Antimalware Platform منتشر شده‌اند. این به‌روزرسانی‌ها به‌صورت خودکار از طریق سازوکار Defender نصب می‌شوند. با این حال، توصیه می‌شود مدیران سیستم نسخه موتور حفاظتی و امضاهای Defender را به‌صورت دستی نیز بررسی کنند. همچنین لازم است از به‌روزرسانی کامل سامانه‌ها اطمینان حاصل شود.

افشای مداوم آسیب‌پذیری‌های بحرانی در محصولات امنیتی مایکروسافت، به‌ویژه Defender، نشان می‌دهد اتکا صرف به راهکارهای امنیتی پیش‌فرض می‌تواند برای سازمان‌ها ریسک ایجاد کند. استفاده از لایه‌های دفاعی تکمیلی اهمیت زیادی دارد. به‌کارگیری راهکارهای پیشرفته مانند EDR، پایش مداوم رخدادهای امنیتی و اجرای اصل حداقل دسترسی (Least Privilege) از مهم‌ترین روش‌های کاهش ریسک محسوب می‌شوند. همچنین به‌روزرسانی سریع سامانه‌ها نقش مهمی در جلوگیری از سوءاستفاده مهاجمان دارد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × 4 =