بهروزرسانی امنیتی جدید مایکروسافت، یکی از جدیترین تهدیدهای تاریخ پلتفرم .NET را هدف گرفته است. که امکان دستکاری درخواستها و سرقت اطلاعات حساس را برای مهاجمان فراهم میکرد.
به گزارش افتانا، مایکروسافت به تازگی آسیبپذیری را برطرف کرد که بالاترین سطح شدت امنیتی ثبتشده برای یک نقص در ASP.NET Core را دریافت کرده بود. این آسیبپذیری از نوع HTTP Request Smuggling با شناسه CVE-2025-55315 در وبسرور Kestrel کشف شده و به مهاجمان احراز هویتشده اجازه میدهد درخواست HTTP دیگری را بهصورت مخفیانه ارسال کنند تا بتوانند به اطلاعات کاربران دیگر دسترسی یابند یا از کنترلهای امنیتی سمت سرور عبور کنند.
مایکروسافت در اطلاعیهای توضیح داد: «مهاجمی که بتواند از این آسیبپذیری سوءاستفاده کند، قادر خواهد بود اطلاعات حساس مانند اعتبارنامه کاربران دیگر را مشاهده کند (نقض محرمانگی)، محتوای فایلهای روی سرور هدف را تغییر دهد (نقض یکپارچگی) و حتی ممکن است باعث از کار افتادن سرور شود (تأثیر بر دسترسپذیری).»
مایکروسافت برای ایمنسازی برنامهها توصیه کرد: اگر از .NET 8 یا نسخههای بالاتر استفاده میکنید، بهروزرسانی منتشرشده از طریق Microsoft Update را نصب کرده و سپس برنامه یا سیستم خود را ریاستارت کنید. اگر از .NET 2.3 استفاده میکنید، بسته Microsoft.AspNet.Server.Kestrel.Core را به نسخه 2.3.6 ارتقا دهید، سپس برنامه را دوباره کامپایل و منتشر کنید و در صورتی که از برنامههای Self-contained یا Single-file استفاده میکنید، پس از نصب بهروزرسانی، مجدداً برنامه را کامپایل و مستقر کنید.
مایکروسافت برای رفع این آسیبپذیری، بهروزرسانیهای امنیتی را برای Visual Studio 2022، نسخههای ASP.NET Core 2.3، 8.0 و 9.0 و همچنین بسته Microsoft.AspNetCore.Server.Kestrel.Core مخصوص برنامههای ASP.NET Core 2.x منتشر کرده است.
بری دورنز، مدیر برنامه امنیتی .NET در توضیح این نقص گفت: تأثیر حملات مرتبط با CVE-2025-55315 بستگی به نحوه پیادهسازی برنامههای ASP.NET دارد. در صورت موفقیت، مهاجمان ممکن است بتوانند بهعنوان کاربر دیگری وارد سیستم شوند. ما نمیدانیم دقیقاً چه نوع حملهای ممکن است انجام شود، چون این موضوع به کد برنامه شما بستگی دارد. بنابراین ما این نقص را با درنظرگرفتن بدترین حالت ممکن – یعنی دور زدن ویژگیهای امنیتی – امتیازدهی کردهایم. آیا احتمال وقوعش زیاد است؟ نه، مگر اینکه برنامهتان بررسیهای لازم را در هر درخواست انجام ندهد. با این حال، لطفاً همین حالا بهروزرسانی کنید.»
در بهروزرسانی امنیتی ماه اکتبر (Patch Tuesday)، مایکروسافت برای ۱۷۲ آسیبپذیری اصلاحیه منتشر کرده که شامل هشت مورد بحرانی و شش نقص روز صفر بوده است و سه مورد از آنها در حملات واقعی مورد سوءاستفاده قرار گرفتهاند. همچنین مایکروسافت بهروزرسانی KB5066791 را منتشر کرد که آخرین بسته امنیتی برای Windows 10 محسوب میشد؛ زیرا پشتیبانی مایکروسافت از ویندوز 10 در روزهای اخیر به پایان رسیدهاست.
