CVE-2025-10541

چکیده

آسیب‌پذیری در iMonitor EAM نسخه 9.6394، به دلیل مکانیزم به‌روزرسانی ناامن در سرویس eamusbsrv64.exe است که با سطح دسترسی NT AUTHORITY\SYSTEM اجرا می‌شود. مهاجم لوکال می‌تواند فایل‌های DLL یا EXE مخرب را در دایرکتوری C:\sysupdate\ قرار دهد و با راه‌اندازی مجدد سرویس آن‌ها را با دسترسی SYSTEM اجرا کند و بدین‌ترتیب سطح دسترسی خود را افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-10541 در نرم‌افزار نظارت بر فعالیت کارکنان iMonitor EAM، ناشی از مکانیزم به‌روزرسانی ناامن در کامپوننت ایجنت (eamusbsrv64.exe) است که مطابق با CWE-732 طبقه‌بندی می‌شود. این ضعف در نسخه 9.6394 وجود دارد و سرویس eamusbsrv64.exe با سطح دسترسی NT AUTHORITY\SYSTEM (حساب سیستمی ویندوز با بالاترین سطح دسترسی) اجرا می‌شود.

این سرویس در زمان راه‌اندازی، بررسی می‌کند که آیا فایل C:\sysupdate\finish.txt وجود دارد یا خیر؛ در صورت وجود، سایر فایل‌های دایرکتوری C:\sysupdate\ به مسیر نصب برنامه (C:\Windows\System\sys\syscon) منتقل و بارگذاری یا اجرا می‌شوند. از آنجا که هر کاربر لوکال می‌تواند دایرکتوری C:\sysupdate\ را ایجاد و در آن بنویسد، مهاجم لوکال یک DLL مخرب (مثلاً wtsapi32.dll — DLL = Dynamic Link Library، کتابخانه کد قابل بارگذاری در زمان اجرا) یا یک فایل اجرایی را در آن قرار می دهد. با راه‌اندازی مجدد سرویس یا ری‌استارت سیستم، فایل‌ها منتقل شده و با دسترسی SYSTEM بارگذاری می‌شوند که منجر به افزایش سطح دسترسی اوکال (local privilege escalation) می‌گردد.

این آسیب‌پذیری به صورت لوکال با نیاز به سطح دسترسی محدود و بدون تعامل کاربر قابل بهره‌برداری می باشد. پیامدهای آن شامل نقض کامل محرمانگی، یکپارچگی و در دسترس‌پذیری است.

کد اثبات مفهومی (PoC) نشان می‌دهد محققان ابتدا یک کتابخانه دینامیک (DLL) آزمایشی تولید کرده، آن را با نام موردانتظار در دایرکتوری C:\sysupdate\ قرار داده و یک فایل خالی (finish.txt) ساخته‌اند. سپس با راه‌اندازی مجدد سرویس یا سیستم، مکانیزم به روزرسانی فعال شده و فایل‌ها به دایرکتوری نصب منتقل می‌شوند؛ DLL قرار‌گرفته توسط فرآیند سرویس در زمینه NT AUTHORITY\SYSTEM بارگذاری و اجرا می‌شود. تاکنون شرکت iMonitor Software Inc پچ یا به روزرسانی رسمی منتشر نکرده است.

CVSS

 لیست محصولات آسیب پذیر

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که employee activity monitoring را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری در iMonitor EAM به دلیل مکانیزم به‌روزرسانی ناامن، تهدیدی جدی برای افزایش سطح دسترسی به SYSTEM ایجاد می‌کند. با توجه به عدم انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

• محدودسازی دسترسی به دایرکتوری: مجوزهای نوشتن (write permissions) روی C:\sysupdate\را فقط به کاربران معتبر اختصاص کنید و در صورت عدم نیاز به سرویس exe، آن را غیرفعال نمایید.
• نظارت بر فرآیندها: رخدادهای ویندوز (Windows Event Viewer) را برای نشانه‌های اجرای غیرعادی در syscon بررسی کنید و از ابزارهایی مثل Sysmon یا Windows Defender برای تشخیص افزایش سطح دسترسی (privilege escalation) استفاده کنید.
• ایزوله‌سازی محیط: ایجنت را در ماشین‌های مجازی ایزوله (isolated VMs)یا سندباکس اجرا کنید تا تأثیرات احتمالی محدود شود.
• تغییر تنظیمات پیش‌فرض: رمز عبورهای پیش‌فرض را تغییر دهید و قابلیت به‌روزرسانی خودکار را غیرفعال کنید.
• جایگزینی نرم‌افزار: نرم‌افزار را با راهکارهای نظارت امن‌تر و به‌روزرسانی‌شده جایگزین کنید.
• آموزش و آگاهی: مدیران IT را در مورد ریسک مجوزهای نادرست و اهمیت نظارت بر دایرکتوری‌های حساس آموزش دهید.

اجرای این اقدامات ریسک افزایش سطح دسترسی را به حداقل رسانده و امنیت محیط‌های نظارت بر کارکنان را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این حادثه مستلزم دسترسی به یک حساب کاربری محلی با امتیازات پایین است؛ مهاجم ابتدا باید بتواند در سیستم مقصد لاگین کند یا فرایندهای محلی را اجرا کند (مثلاً از طریق حساب کاربر معمولی یا حملات فیزیکی/اجتماعی) تا پوشهC:\sysupdate\ را ایجاد /نوشت کند — به عبارت دیگر بردارِ ورود شبکه‌ای وجود ندارد و «ورود اولیه» به‌صورت لوکال اتفاق می‌افتد.

Execution (TA0002)
وقوع حمله از طریق بارگذاری و اجرای کد آگاهانه توسط سرویس اجراشونده با حساب SYSTEM است؛ مهاجم با قراردادن DLL یا فایل اجراییِ مخرب در C:\sysupdate\ و فعال‌سازی مکانیزم به‌روزرسانی (وجود finish.txt و ری‌استارت سرویس) باعث اجرای کد در کانتکست NT AUTHORITY\SYSTEM می‌شود

Persistence (TA0003)
در صورتی که فایل مخرب پس از جابجایی در مسیر نصب برنامه باقی بماند یا مکانیزم به‌روزرسانی بارها اجرا شود، مهاجم می‌تواند حضور طولانی‌مدت خود را حفظ کند؛ حتی اگر کاربر لاگ‌آوت شود یا سرویس ری‌استارت شود، DLL مخرب ممکن است هر بار بارگذاری شده و رفتار مهاجم را بازتولید کند.

Privilege Escalation (TA0004)
هسته تهدید: افزایش سطح دسترسی لوکال — فایل مخرب در زمینه SYSTEM اجرا می‌شود که باعث ارتقاء اختیارات مهاجم از حساب کاربر معمولی به سطح SYSTEM می‌گردد.

Defense Evasion (TA0005)
مهاجم می‌تواند از نام‌گذاری مشابه DLL های مشروع مانند wtsapi32.dll و مسیرهای مورد انتظار سرویس برای مخفی‌ماندن استفاده کند و بدین‌ترتیب تشخیص مبتنی بر نام/ساختار را دور بزند؛ همچنین اجرای کد در کانتکست SYSTEM تشخیص مبتنی بر امتیازات را پیچیده‌تر می‌کند.

Impact (TA0040)
پیامد نهایی شامل نقض محرمانگی، یکپارچگی و در دسترس‌پذیری است: دسترسی SYSTEM امکان اجرای بدافزار با دسترسی کامل، سرقت داده‌ها، تغییر تنظیمات امنیتی و تخریب سرویس‌ها یا پاک‌سازی لاگ‌ها را فراهم می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10541
2. https://www.cvedetails.com/cve/CVE-2025-10541/
3. https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-imonitorsoft-eam/
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10541
5. https://vuldb.com/?id.325869
6. https://nvd.nist.gov/vuln/detail/CVE-2025-10541
7. https://cwe.mitre.org/data/definitions/732.html