CVE-2025-21245

چکیده

آسیب‌پذیری در سرویس تلفنی ویندوز (Windows Telephony Service)، ناشی از سرریز بافر مبتنی بر heap و خواندن خارج از محدوده است که به مهاجمان اجازه می‌دهد با فریب کاربر برای ارسال درخواست به سرور مخرب، کد دلخواه روی سیستم اجرا کنند و کنترل کامل دستگاه را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-21245 در سرویس تلفنی ویندوز ناشی از سرریز بافر مبتنی بر heap و خواندن خارج از محدوده است و مطابق با CWE-122 و CWE-125 طبقه‌بندی می‌شود. این ضعف هنگام پردازش داده‌های دریافتی از سرور رخ می‌دهد و به‌سادگی قابل بهره‌برداری است. سرریز بافر در heap زمانی رخ می‌دهد که داده‌ای بیشتر از فضای تخصیص‌یافته نوشته شود و باعث فساد ساختارهای مدیریتی حافظه و بازنویسی پوینترها می‌گردد. این فساد می‌تواند کنترل جریان اجرا را تغییر داده و به اجرای کد دلخواه منجر شود. مهاجم می‌تواند با استفاده از ابزارهای خودکار مانند اسکریپت‌های پایتون یا فریم‌ورک‌های اکسپلویت، کاربر را فریب دهد تا روی یک لینک مخرب کلیک کند. این عمل باعث ارسال درخواست HTTP/HTTPS به سرور کنترل‌شده و بازگرداندن داده‌های مخرب می‌شود که سرریز Heap در سرویس TAPI را فعال کرده و اجرای کد دلخواه (RCE) با دسترسی کامل سیستم را ممکن می‌سازد.

پیامدهای آن شامل نقض شدید محرمانگی با دسترسی به داده‌های حساس مانند فایل‌ها و رمزها، یکپارچگی با تغییر سیستم‌عامل یا نصب بدافزار و در دسترس‌پذیری با امکان کرش سیستم یا کنترل کامل آن است. این آسیب‌پذیری تقریباً تمام نسخه‌های اصلی ویندوز از 2008 تا Windows 11 نسخه 24H2 و سرورهای مربوطه را تحت تأثیر قرار می‌دهد. مایکروسافت برای رفع این آسیب‌پذیری، به‌روزرسانی‌های امنیتی را در ژانویه 2025 از طریق Windows Update منتشر کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server، Windows 10، Windows 11 و Windows Telephony Service را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Windows Telephony Service، امکان اجرای کد از راه دور از طریق فریب کاربر و سرریز heap را فراهم می‌کند و سیستم‌های ویندوزی سازمانی را به شدت تهدید می‌نماید. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را از طریق Windows Update به بیلدهای پچ‌شده ژانویه 2025 به روزرسانی کنید. فایل‌ها را تنها از منابع رسمی مایکروسافت دانلود کنید.
• محدودسازی دسترسی: فایروال ویندوز (Windows Defender Firewall) را برای مسدود کردن اتصالات مشکوک به سرویس TAPI پیکربندی کنید، UAC را روی حداکثر تنظیم نمایید و دسترسی کاربران را با RBAC محدود کنید.
• نظارت و ثبت لاگ: Event Viewer را برای رویدادهای TAPI (Event ID 10000-10099) نظارت کنید، از SIEM مانند Splunk برای تشخیص الگوهای سرریز heap و Windows Event Forwarding برای ارسال لاگ‌ها استفاده نمایید.
• ایزوله‌سازی محیط: TAPI را در سندباکس ویندوز یا VM جداگانه اجرا کنید، از AppLocker برای کنترل برنامه‌های تلفنی و Microsoft Defender for Endpoint برای تشخیص real-time بهره ببرید.
• اسکن و تست امنیتی: سیستم را با MBSA یا Nessus اسکن کنید، تست‌ نفوذ روی سناریوهای متمرکز بر مهندسی اجتماعی انجام دهید و ابزارهایی مانند WinDbg برای تحلیل heap dump استفاده کنید.
• آموزش: کاربران را در مورد فیشینگ، ریسک کلیک روی لینک‌های ناشناس و گزارش فعالیت‌های مشکوک آموزش دهید.

اجرای این اقدامات به خصوص نصب فوری پچ های رسمی، ریسک RCE را به حداقل رسانده و امنیت محیط‌های ویندوزی را در برابر حملات تضمین می کند.

امکان استفاده در تاکتیک های Mitre Attck

Initial Access (TA0001)
آسیب‌پذیری از طریق فریب کاربر (مهندسی اجتماعی) و تحمیل درخواست HTTP/HTTPS به سرویس TAPI فعال می‌شود؛ مهاجم با ارسال لینک نقطه‌زن یا ایمیل فیشینگ کاربر را مجاب می‌کند تا به سرور کنترل‌شده وصل شود و پاسخ مخرب را دانلود کند که بافر را سرریز می‌کند.

Execution (TA0002)
بهره‌برداری منجر به اجرای کد دلخواه در کانتکست سیستم (RCE) می‌شود؛ سرریز heap و خواندن خارج از محدوده می‌تواند کنترل جریان را گرفته و payload با سطح SYSTEM اجرا شود.

Credential Access (TA0006)
پس از اجرای کد، مهاجم می‌تواند توکن‌ها، credential cacheها یا داده‌های رمزنگاری‌شده را استخراج کند که دسترسی به سرویس‌ها را ممکن می‌سازد.

Discovery (TA0007)
مهاجم پس از نفوذ محیط را برای فهرست‌بندی سرویس‌ها، پورت‌ها و تنظیمات TAPI کاوش می‌کند تا حملات بعدی را طراحی کند.

Privilege Escalation (TA0004)
اجرای کد در کانتکست سرویس ممکن است به افزایش امتیاز و دستیابی به اجزای سیستمی منجر شود

Collection (TA0009)
مهاجم می‌تواند داده‌های محلی حساس (لاک‌ها، تماس‌ها، فایل‌های ذخیره‌شده) را جمع‌آوری کند و برای اهداف جاسوسی یا باج‌گیری آماده نماید.

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده می‌توانند از طریق کانال‌های شبکه به بیرون فرستاده شوند

Defense Evasion (TA0005)
مهاجم ممکن است لاگ‌ها را پاک کند یا سرویس‌های امنیتی را غیرفعال کند تا ردپا پاک بماند

Lateral Movement (TA0008)
دستگاه‌های آلوده می‌توانند به عنوان نقطه پرش برای حمله به سایر میزبان‌ها یا کنسول‌های مدیریتی سازمان استفاده شوند.

Impact (TA0040)
پیامد فنی این نقص: اجرای کد از راه دور (RCE) در سطح سیستم، نقض محرمانگی و یکپارچگی داده‌ها، کرش یا از دست رفتن سرویس‌های تلفنی و امکان نصب بدافزار است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-21245
2. https://www.cvedetails.com/cve/CVE-2025-21245/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21245
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21245
5. https://vuldb.com/?id.291699
6. https://nvd.nist.gov/vuln/detail/CVE-2025-21245
7. https://cwe.mitre.org/data/definitions/122.html
8. https://cwe.mitre.org/data/definitions/125.html