گروه باج افزاری AvosLocker که از سال ۲۰۲۱ فعالیت خود را آغاز کرده است، با استفاده از نرم‌افزارهای معتبر و ابزارهای متن‌باز مدیریت سیستم از راه دور، به شبکه‌های سازمان‌ها نفوذ می‌کند و با تهدید به فاش کردن داده‌های سرقت شده، از کاربران درخواست باج می‌کند. این گروه در قالب یک باج‌افزار به عنوان سرویس RaaS (Ransomware as a Service) عمل می‌کند و به دنبال سودآوری هر چه بیشتر است. AvosLocker نام باج‌افزاری است که توسط این گروه پخش می‌شود.
گروه باج افزاری AvosLocker در سال ۲۰۲۳ مشغول به انجام حملات علیه بخش‌های زیرساخت حیاتی در کشورهای مختلف شده که برخی از آن‌ها تا ماه می ۲۰۲۳ شناسایی شده‌ بودند. در بازه زمانی دسامبر ۲۰۲۱ تا فوریه ۲۰۲۲، AvosLocker حدود چهار هزار سرویسRDP  را مورد هدف قرار داد و حوزه‌های مختلف اقتصادی، صنعتی، درمان، تولید، سازمان‌های دولتی و آموزشی قربانیان این حملات شدند.
باید توجه داشت که باج‌افزار AvosLocker از روش‌های مختلفی جهت نفوذ به شبکه‌ها استفاده می‌کند که برخی از روش‌های شناسایی شده عبارتند از:

• استفاده از فیشینگ، سرقت گذرواژه RDP یا حملات brute force
• استفاده از نقص Log4j جهت دریافت باج‌افزار بر روی سیستم قربانی
• استفاده از نرم‌افزار Cobalt Strike جهت حرکت در شبکه و دریافت باج‌افزار

توصیه‌های امنیتی
CISA در تاریخ 11 اکتبر 2023 مجددأ در خصوص افزایش حملات باج افزار AvosLocker هشدار صادر کرد. این سازمان توصیه کرده‌ است که سازمان‌های زیرساخت حیاتی تدابیر لازم را جهت کاهش تأثیر حملات باج‌افزار AvosLocker و سایر حملات باج‌افزاری اتخاذ کرده و رعایت تمهیدات امنیتی زیر را در دستور کار خود قرار دهند:

• قطع دسترسی به سرویس RDP و سایر سرویس‌های دسکتاپ از راه دور
• امن کردن PowerShell و یا محدود کردن استفاده از آن
• به‌روزرسانی سیستم‌عامل و نرم‌افزارها به آخرین نسخه و اعمال به‌روزرسانی‌های رفع آسیب‌پذیری به صورت منظم
• پشتیبان‌گیری منظم از داده‌ها و نگهداری آن‌ها در محل‌های امن

منابع خبر:

[1] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a.
[2] https://www.avertium.com/resources/threat-reports/in-depth-look-at-avoslocker-ransomware.
[3] https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html.
[4] https://www.cisa.gov/news-events/alerts/2023/03/02/fbi-and-cisa-release-stopransomware-royal-ransom….
[5]https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2928709/cisa-fbi-nsa-and-internation….
[6]https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2784757/cisa-fbi-and-nsa-release-con….

به تازگی یک آسیب‌پذیری با شناسه CVE-2023-43641 و شدت 8.8 در رابط گرافیکی دسکتاپ GNOME شناسایی شده است که دلیل آن نقص اختلال در حافظه یا memory corruption در کتابخانه متن باز libcue عنوان شده است. این کتابخانه در Tracker Miner به عنوان ابزار داده¬کاوی در فایل سیستم‌، کاربرد دارد.
این آسیب‌پذیری، ریشه در دسترسی به index ‌های خارج از محدوده (out-of-bounds) یک آرایه در تابع (track_set_index) دارد. مهاجم می‌تواند با فریب دادن قربانی برای کلیک کردن روی پیوند مخرب و دانلود یک فایل cue، امکان اجرای کد در دستگاه قربانی را بدست آورد. از آنجا که در GNOME، فایل¬ها در مسیر /Downloads ذخیره می‌شوند، با توجه به پسوند این فایل، Tracker Miner با استفاده از libcue شروع به تحلیل این فایل می‌کند. از این طریق مهاجم قادر به اجرای حمله کد از راه دور (RCE) خواهد بود.

محصولات تحت تأثیر
این رابط کاربری که در اکثر توزیع¬های لینوکس مانند Debian، Fedora و Ubuntu به عنوان محیط گرافیکی دسکتاپ در حالت پیش‌فرض استفاده می‌شود، طیف وسیعی از کاربران لینوکس را در معرض این آسیب‌پذیری قرار می‌دهد. نسخه‌های 2.2.1 و قبل تر کتابخانه libcue تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
کاربران نسخه‌های مختلف لینوکس باید هرچه سریع¬تر، سیستم‌عامل خود را به آخرین منتشر شده بروزرسانی کنند.

منابع خبر:

[1] https://thehackernews.com/2023/10/libcue-library-flaw-opens-gnome-linux.html
[2] https://github.com/lipnitsk/libcue/security/advisories/GHSA-5982-x7hv-r9cj
[3]https://lists.fedoraproject.org/archives/list/packageannounce@lists.fedoraproject.org/message/U7FPN…

به گفته محققان امنیتی یک گروه آلمانی، در دستگاه D-Link DAP-X1860 که از آن برای افزایش فضای تحت پوشش امواج WiFi 6 استفاده می‌شود، یک آسیب‌پذیری با شناسه CVE-2023-45208 شناسایی شده است که به واسطه آن، مهاجم می‌تواند حملات منع سرویس (DOS) و تزریق کد از راه دور(RCI) را اجرا کند.
این آسیب‌پذیری، در زمان راه‌اندازی این دستگاه و زمانی که در حال شناسایی شبکه‌های اطراف خود است، رخ می‎‌دهد. شبکه‌هایی که در نام آن‌ها علامت آپستروف وجود دارد (مثلاً Om') در برابر حمله منع سرویس آسیب‌پذیر هستند. علاوه بر این، به دلیل وجود تابع parsing_xml_stasurvey در libcgifunc.so، مهاجم قادر به تزریق دستورات سیستمی و انجام فعالیت¬هایی است که نیاز به دسترسی root دارند.

محصولات تحت تأثیر
از بین مدل‎‌های مختلف این دستگاه، وجود این آسیب‌پذیری در مدل‌های زیر قطعی بوده و ممکن است سایر مدل‌ها نیز آسیب‌پذیر باشند.

• WiFi range extender مدل 1.00
• WiFi range extender مدل 1.01b94
• WiFi range extender مدل 1.01b05-01

توصیه‌های امنیتی
از آنجا که شرکت Dlink، به هشدارهای اعلام شده توجه نکرده و هنوز هیچ به‌روزرسانی امنیتی برای این محصول خود منتشر نکرده است، این آسیب‌پذیری همچنان توسط مهاجمان قابل بهره‌برداری است و محققان امنیتی، به کاربران پیشنهاد می‌کنند که روش‌های زیر را برای حفظ امنیت شبکه خود به کار گیرند:

• محدود کردن امکان جستجوی دستی شبکه
• بررسی سریع دلیل قطع شدن و وصل شدن یک ارتباط با شبکه
• خاموش کردن دستگاه در زمان‌هایی که مورد استفاده قرار نمی‌گیرد.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/d-link-wifi-range-extender-vulnerable-to-command-inj…
[2]https://nvd.nist.gov/vuln/detail/CVE202345208#:~:text=Description,repeater%2C%20via%20a%20crafted%2…

دو آسیب‌پذیری، با شدت‌های بالا و متوسط در ابزار CURL شناسایی شده است. از این ابزار جهت انتقال اطلاعات در قالب URL (استاندارد RFC 3986) استفاده می‌شود که برای اجرای دستورات، از کتابخانه libcurl بهره می‌گیرد. همچنی ابزار CURL از تعداد زیادی پروتکل‌ مانند FTP(S)، HTTP(S) ، IMAP(S) پشتیبانی می‌کند.

• CVE-2023-38545: این آسیب‌پذیری‌ دارای شدت بالا می‌باشد و هم کتابخانه libcurl و هم خود ابزار CURL را تحت تاثیر قرار می‌دهد.
• CVE-2023-38546: این آسیب‌پذیری‌ دارای شدت متوسط می‌باشد و فقط روی ابزار CURL قابل بهره‌برداری می‌باشد.

 محصولات تحت تأثیر
تمام نسخه‌های قبل از 8.4.0 ابزار CURL،  تحت تاثیر دو آسیب‌پذیری مذکور قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود هرچه سریع تر  ابزار CURL خود را به نسخه 8.4.0 به روزرسانی کنند.

منابع خبر:

[1] https://thehackernews.com/2023/10/security-patch-for-two-new-flaws-in.html
[2] https://blog.qualys.com/vulnerabilities-threat-research/2023/10/05/curl-8-4-0-proactively-identifyi…
[3] https://github.com/curl/curl

مهاجمان کمپینی در مقیاس بزرگ تشکیل داده‌اند که با سوء استفاده از آسیب‌پذیری اخیر Citrix NetScaler، ‌ CVE-2023-3519،  اطلاعات ورود کاربران را به سرقت می‌برد. این آسیب‌پذیری که در ماه جولای گزارش شده است برای مهاجم احراز اصالت‌نشده امکان اجرای کد از راه دور و دسترسی غیرمجاز به اطلاعات ورود کاربران به برخس از نسخه‌های NetScaler را می‌دهد. برای مطالعه بیشتر اینجا کلیک نمایید.

شرکت های نیمه هادی در شرق آسیا با فریب هایی به عنوان شرکت تولید نیمه هادی تایوان (TSMC) که برای ارائه Cobalt Strike beacons طراحی شده‌اند، مورد هدف قرار گرفته اند. مجموعه نفوذ، طبق گفته EclecticIQ، از یک درب پشتی به نام HyperBro استفاده می‌کند که سپس به عنوان مجرایی برای استقرار این نرم‌افزار شبیه‌سازی حمله تجاری و جعبه ابزار پس از بهره‌برداری، استفاده می‌شود.
گفته می شود که یک توالی حمله دیگر از دانلود کننده بدافزاری که قبلاً مستند نشده بود برای استقرار Cobalt Strike استفاده کرده است که نشان می دهد عوامل تهدید چندین رویکرد برای نفوذ به اهداف مورد نظر ابداع کرده اند. این شرکت امنیت سایبری هلندی این کمپین را به دلیل استفاده از HyperBro به یک عامل تهدید مرتبط با چین نسبت داد که تقریباً به طور انحصاری توسط یک تهدیدکننده معروف به Lucky Mouse (aka APT27, Budworm, and Emissary Panda)  مورد استفاده قرار گرفته است.
همچنین همپوشانی‌های تاکتیکی بین دشمن پشت حملات و خوشه دیگری که توسط RecordedFuture تحت نام RedHotel ردیابی شده است، کشف شده است که با گروه هکری به نام Earth Lusca نیز اشتراکاتی دارد. از دلایل دیگری که محققان این کمپین را به چین مرتبط می دانند ناشی از استفاده از سرور وب Cobra DocGuard مورد نفوذ برای میزبانی باینری های مرحله دوم، از جمله ایمپلنت مبتنی بر Go به نام ChargeWeapon، برای توزیع از طریق دانلود کننده است.
Arda Büyükkaya، محقق EclecticIQ، در تحلیلی گفت: «ChargeWeapon برای دسترسی از راه دور و ارسال اطلاعات دستگاه و شبکه از یک میزبان آلوده به یک سرور [command-and-control] تحت کنترل مهاجم طراحی شده است. این اطلاعات به احتمال زیاد توسط عوامل تهدید جمع‌آوری می‌شود تا شناسایی اولیه علیه میزبان‌های آلوده و شناسایی اهداف با ارزش بالا انجام شود.».
شایان ذکر است که یک نسخه تروجانیزه شده از نرم افزار رمزگذاری Cobra DocGuard EsafeNet نیز با استقرار PlugX مرتبط شده است و سیمانتک آن را به یک بازیگر مشکوک چینی با نام رمز Carderbee مرتبط کرده است. در زنجیره حمله مستند شده توسط EclecticIQ، یک سند PDF با مضمون TSMC به عنوان یک طعمه پس از اجرای HyperBro نمایش داده می شود که نشان دهنده استفاده از تکنیک های مهندسی اجتماعی برای فعال کردن ویروس است.

یکی از جنبه های قابل توجه این حمله این است که آدرس سرور C2 که در  Cobalt Strike beaconکدگذاری شده است، به عنوان یک CDN قانونی jQuery در تلاش برای دور زدن دفاعیات دیوار آتش پنهان شده است. گزارشی که ماه گذشته توسط وزارت دفاع ایالات متحده منتشر شد، چین را به عنوان یک "تهدید جاسوسی سایبری گسترده و فراگیر" توصیف کرد .

منبع:

یک کمپین جدید اسکیمینگ کارت Magecart صفحات خطای 404 وب‌سایت‌های خرده‌فروشان آنلاین را ربوده و کدهای مخرب را برای سرقت اطلاعات کارت‌اعتباری مشتریان پنهان می کند. این کمپین بر روی سایت‌های مجنتو و ووکامرس متمرکز است و برخی از قربانیان با سازمان‌های مشهور در بخش‌های غذا و خرده‌فروشی مرتبط هستند. برای مطالعه بیشتر اینجا کلیک نمایید.
 

مایکروسافت برای رفع یک آسیب‌پذیری روزصفر با شدت بحرانی (امتیاز 9.8 از ۱۰) و شناسه CVE-2023-364 وصله امنیتی منتشر نموده است.
مهاجم با استفاده از این آسیب‌پذیری می‌تواند از راه دور و با روش Brute Force‌ به رمز عبور کاربران دسترسی پیدا کرده و به وب‌سرور نفوذ کند و سپس دستورات دلخواه خود را اجرا نماید.
در یک حمله مبتنی بر شبکه، مهاجم می‌تواند از طریق حمله‌ی Brute force، رمز حساب‌های کاربری را  به دست آورده و به عنوان کاربرِ سیستم وارد شود. مایکروسافت کاربران را به استفاده از رمزهای عبور قوی و پیچیده تشویق می‌کند که به دست آوردن آن‌ها برای مهاجم سخت‌تر باشد.
اگرچه مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع این آسیب‌پذیری منتشر نموده است، اما به مدیران Exchange نیز توصیه می‌کند که به منظور حفاظت از سرورها در برابر حملاتی که با استفاده از اکسپلویت‌های آسیب‌پذیری CVE-2023-21709 قابل انجام هستند، ماژول آسیب‌پذیر Windows IIS Token Cache را به صورت دستی و یا با استفاده از این اسکریپت PowerShell حذف نمایند.
به عنوان بخشی از وصله روز سه‌شنبه این ماه، مایکروسافت یک به‌روزرسانی امنیتی جدید (CVE-2023-36434) منتشر کرده است که به طور کامل نقص CVE-2023-21709 را برطرف می‌کند و به هیچ مرحله اضافی نیاز ندارد.
به گفته‌ی تیم Exchange: "در به‌روزرسانی‌های ماه آگوست 2023، توصیه شد که کاربران از یک راه‌حل دستی یا یک اسکریپت استفاده کرده و ماژول IIS Token Cache را به عنوان راهی برای رفع آسیب‌پذیری CVE-2023-21709 غیرفعال نمایند."
در به‌روزرسانی سه‌شنبه این ماه، تیم ویندوز برای عامل اصلی این آسیب‌پذیری، وصله‌ی امنیتی IIS را به شکل اصلاحیه‌ای برای CVE-2023-36434 منتشر کرده است. توصیه می‌شود وصله‌ی امنیتی ارائه‌شده برای IIS را نصب کنید. پس از اعمال وصله‌های امنیتی می‌توانید ماژول Token Cache را مجدداً در سرورهای Exchange خود فعال نمایید.
از مدیران خواسته شده است که ماژول آسیب‌پذیر IIS را مجدد فعال نمایند. اگر قبلاً Windows IIS Token Cache را به منظور رفع نقص ارتقاء سطح دسترسی در ماه آگوست حذف کرده‌اید، اکنون باید به‌روزرسانی‌های امنیتی را نصب کرده و با استفاده از این اسکریپت یا با اجرای دستور زیر توسط یک حساب کاربری دارای سطح دسترسی بالا، ماژول IIS را دوباره فعال کنید:

New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%\System32\inetsrv\cachtokn.dll"

به مدیرانی که هنوز به‌روزرسانی‌های امنیتی ماه آگوست را برای آسیب‌پذیری CVE-2023-21709 اعمال نکرده‌اند، توصیه می‌شود به‌روزرسانی‌های امنیتی اکتبر 2023 ویندوز سرور را نصب نمایند.
مایکروسافت در به‌روزرسانی‌های امنیتی روز سه‌شنبه اکتبر 2023، 104 نقص، شامل 12 مورد بحرانی و 3 آسیب‌پذیری روزصفر را که به طور فعال در حملات مورد سوء استفاده قرار می‌گیرند، وصله کرده است.
طبق بررسی‌های صورت‌ گرفته،  حدود 241792 آی‌پی در ایران دارای  آسیب‌پذیری مذکور هستند.
نرم‌افزار Exchange از IIS استفاده می‌کند بنابراین همه Exchangeها و دیگر وب‌سرویس‌ها در معرض خطر هستند.
توجه: ایران اکسس کردن سرویس‌ها فقط سطح حمله را کاهش می‌دهد و آسیب را برطرف نمی‌کند، لذا هرگز این روش را به عنوان راهکار امنیتی لحاظ نکنید.

منبع خبر:

https://www.bleepingcomputer.com/news/security/microsoft-exchange-gets-better-patch-to-mitigate-cri…

در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیب‌پذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده می‌شد. این آسیب‌پذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. آسیب‌پذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راه‌حل کاملی برای آن ارائه نشده است.
این آسیب‌پذیری که حمله DDoS را به دنبال دارد، به دلیل وجود یک نقص در پیاده‌سازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال می‌کند سپس با استفاده از فریم RST_STREAM، اتصال را قطع می‌کند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند. با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم می‌تواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع می‌گردد.

توصیه‌های امنیتی
با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکت‌های بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و به‌روزرسانی‌های امنیتی منتشر کرده‌اند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند. در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصله های امنیتی موجود و تغییرات پیکربندی و سایر روشهای کاهش آسیب پذیری است که در ذیل به برخی از آن ها اشاره شده است:

• اطمینان حاصل کنید که ابزارها و سرویس‌هایی امنیتی، جهت محافظت، شناسایی و پاسخ‌‌گویی به این حمله در سطح سرور و شبکه فعال باشند.
• توصیه می‌شود از سرویس‌های محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود.
• توصیه می‌شود از سرویس‌های محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد.
• اطمینان حاصل کنید که سرویس‌های محافظت از حملات DDoS شما خارج از مرکز داده‌تان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.
• اطمینان حاصل کنید که وصله‌های منتشر شده برای وب‌سرور و سیستم‌عامل در همه سرورها و به‌روزرسانی‌ها اعمال شود.
• به عنوان آخرین مورد، توصیه می‌شود جهت کاهش مخاطرات احتمالی،  HTTP/2  و  HTTP/3که در حال حاضر مورد استفاده بوده و احتمالاً آسیب‌پذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخهها به HTTP/1 باشید ممکن است مشکلات عملکردی قابل توجهی را در پیش رو داشته باشید، لذا این مورد توصیه نمی‌شود.
• استفاده از یک cloud-based DDoS L7 منیز می تواند مفید واقع شود.

منابع خبر:

[1] https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
[2]https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack…
[3] https://aws.amazon.com/security/security-bulletins/AWS-2023-005/
[4] https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
[5] https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
[6]https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-at…
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-44487

شرکت مایکروسافت از بهره‌برداری از یک آسیب‌پذیری مهم در دیتاسنتر و سرور Confluence شرکت Atlassian که به تازگی افشا شده خبر داد. کانفلوئنس یک ابزار مدیریت پروژه و همکاری برای اشتراک‌گذاری، ذخیره و کار بر روی موارد مختلف است که با استفاده از زبان برنامه نویسی جاوا (Java)، طراحی شده و می‌تواند بر روی سیستم‌عامل‌های مختلف نصب شود.

جزئیات آسیب‌پذیری
این آسیب‌پذیری که شناسه CVE-2023-22515 و شدت 9.8 به آن اختصاص داده شده است، یک نقص بحرانی افزایش سطح دسترسی در دیتاسنتر و سرور Confluence است. هر دستگاهی با اتصال شبکه به یک برنامه آسیب‌پذیر، می‌تواند از این آسیب‌پذیری برای ایجاد یک حساب کاربری administrator در برنامه، بهره‌برداری کند.
آسیب‌پذیری مذکور به مهاجمان اجازه می‌دهد که از راه دور، حساب‌های کاربری Confluence administrator غیر مجاز ایجاد کرده و به سرورهای Confluence دسترسی پیدا کنند.

محصولات تحت تأثیر
دیتاسنتر و سرور Confluence شرکت Atlassian تحت تاثیر آسیب‌پذیری فوق قرار دارند.
سایت‌های Cloud این شرکت، تحت تاثیر آسیب‌پذیری قرار ندارند. در صورتی که سایت Confluence شما از طریق دامنه atlassian.net قابل دسترسی است، توسط Atlassian میزبانی می‌شود و در برابر این نقص، آسیب‌پذیر نیست.

توصیه‌های امنیتی
این آسیب‌پذیری در نسخه‌های زیر رفع شده است:
•    8.3.3 یا بالاتر
•    8.4.3 یا بالاتر
•    8.5.2 یا بالاتر
به سازمان‌هایی که از Confluence استفاده می‌کنند، توصیه می‌شود که برای کاهش هر گونه تهدید احتمالی، آن را به جدیدترین نسخه‌ ارتقا دهند، و تا قبل از آن، برنامه را از اینترنت عمومی جدا کنند.

منابع خبر:

[1] https://thehackernews.com/2023/10/microsoft-warns-of-nation-state-hackers.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-22515