آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) یک هشدار امنیتی اضطراری صادر کرده و آسیب‌پذیری ارتقاء سطح دسترسی در مایکروسافت ویندوز با شناسه CVE-2021-43226 را به کاتالوگ «آسیب‌پذیری‌های فعالانه مورد سوءاستفاده قرار گرفته» (KEV) خود اضافه کرده است. این آسیب‌پذیری که در درایور Common Log File System (CLFS) سیستم‌عامل ویندوز قرار دارد، خطری جدی برای محیط‌های سازمانی محسوب می‌شود و CISA به کلیه سازمان‌ها، به ویژه زیرساخت‌های حیاتی، دستور داده است که فوراً آن را وصله کنند.

جزئیات آسیب‌پذیری چیست؟

این نقص از نوع ارتقاء سطح دسترسی است و با نمره خطر ۷.۸ (بالا) طبق معیار CVSS، می‌تواند عواقب فاجعه‌باری داشته باشد.

• CVE-2021-43226: یک نقص در درایور سیستم فایل لاگ مشترک (CLFS) ویندوز.

• تأثیر مستقیم: این آسیب‌پذیری به یک مهاجم محلی و احراز هویت شده (که از قبل دسترسی استاندارد کاربر را دارد) اجازه می‌دهد تا مکانیسم‌های امنیتی حیاتی را دور زده و دسترسی‌های خود را تا بالاترین سطح ممکن، یعنی سطح سیستم (SYSTEM)، ارتقا دهد.

• نحوه عملکرد: مایکروسافت تأیید کرده است که این مشکل از اعتبارسنجی نامناسب داده‌های ارائه‌شده توسط کاربر در روال‌های مدیریت حافظه درایور CLFS ناشی می‌شود. مهاجم می‌تواند با ساخت فایل‌های لاگ مخرب CLFS، شرایط سرریز بافر را فعال کرده و به اجرای کد دلخواه با امتیازات بالا دست یابد.

چرا این تهدید مهم است؟

این آسیب‌پذیری به خصوص در محیط‌های سازمانی بسیار خطرناک است:

• نقطه ورود دوم: بهره‌برداری از این نقص، پس از آنکه مهاجم از طریق فیشینگ یا حملات مهندسی اجتماعی، یک "جای پا" اولیه (دسترسی استاندارد) در شبکه به دست آورده، می‌تواند کنترل کامل سیستم را در اختیار او بگذارد.

• اثبات مفهوم (PoC): شواهد حاکی از آن است که کدهای اثبات مفهوم بهره‌برداری (PoC) برای این آسیب‌پذیری در انجمن‌های زیرزمینی منتشر شده است، که احتمال سوءاستفاده فعال و گسترده را افزایش می‌دهد.

• نسخه‌های آسیب‌پذیر: نسخه‌های متعددی از ویندوز، از جمله ویندوز ۱۰، ویندوز ۱۱، ویندوز سرور ۲۰۱۶، ۲۰۱۹ و ۲۰۲۲ تحت تأثیر قرار دارند.

چگونه از خود محافظت کنیم؟

به‌روزرسانی فوری تنها راهکار قطعی است. CISA مهلت اجباری ۲۷ اکتبر ۲۰۲۵ را برای آژانس‌های فدرال و زیرساخت‌های حیاتی تعیین کرده است تا این نقص را برطرف کنند:

1. اعمال وصله‌های مایکروسافت: تمامی سازمان‌ها باید فوراً از طریق Windows Update یا WSUS، به‌روزرسانی‌های امنیتی مایکروسافت را اعمال کنند.

2. اولویت‌بندی سرورهای حیاتی: مدیران سیستم باید وصله کردن کنترل‌کننده‌های دامنه (Domain Controllers)، سرورهای فایل و سایر اجزای زیرساخت‌های حیاتی را در اولویت قرار دهند.

3. اقدامات موقت: در صورت عدم توانایی در به‌روزرسانی فوری، استفاده از سیاست‌های کنترل برنامه (Application Control) و فعال‌سازی Windows Defender Exploit Guard به عنوان تدابیر موقت توصیه می‌شود.

4. نظارت بر لاگ‌ها: تیم‌های امنیتی باید لاگ‌های سیستمی (Event ID 4656 و 4658) را برای هرگونه تلاش مشکوک برای دسترسی غیرمجاز به فایل‌های مرتبط با CLFS (مانند clfs.sys و clfsw32.dll) به دقت زیر نظر داشته باشند.