خانه » CVE-2025-24052
هشدار‌های سایبری

CVE-2025-24052

Windows Agere Modem Driver Elevation Of Privilege Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 5 بازدید
هشدار سایبری CVE-2025-24052
  • شناسه CVE-2025-24052 :CVE
  • CWE-121 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 14, 2025
  • به روز شده: اکتبر 17, 2025
  • امتیاز: 7.8
  • نوع حمله: Buffer Overflow
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Microsoft
  • محصول: Windows
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر پشته در درایور Agere Modem که به صورت پیش‌فرض در سیستم‌عامل‌های پشتیبانی‌شده ویندوز نصب می‌شود، به مهاجمان اجازه می‌دهد با بهره‌برداری لوکال، سطح دسترسی خود را به سطح مدیر سیستم (Administrator Privileges) افزایش دهند.

توضیحات

آسیب‌پذیری CVE-2025-24052 در درایور Agere Modem (ltmdm64.sys، درایور قدیمی برای مودم‌های فکس که به صورت پیش‌فرض در سیستم‌عامل‌های ویندوز نصب شده است) روی تمام سیستم های مبتنی بر x64 شناسایی شده است.

این آسیب پذیری ناشی از سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) است و مطابق با CWE-121 طبقه‌بندی می‌شود. به عبارت دیگر، مهاجم احراز هویت‌شده می‌تواند با ارسال ورودی‌های مخرب به درایور، پشته را تخریب کرده و سطح دسترسی خود را افزایش دهد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با استفاده از اسکریپت‌های C/C++ یا فریم‌ورک‌های اکسپلویت درایور، به‌صورت لوکال و بدون تعامل کاربر، داده‌های مخرب را از طریق فراخوانی‌های IOCTL (ورودی/خروجی کنترل دستگاه) به درایور ارسال کند تا سرریز رخ دهد و در نتیجه کد دلخواه را با دسترسی Administrator اجرا نماید. کد اثباتِ مفهومی (PoC) وجود دارد اما عمومی و قابل‌اجرا در اکثر سیستم‌ها نبوده و برای بهره‌برداری نیاز به اصلاحات قابل‌توجه و مهارت فنی دارد.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با افشای داده‌های حساس سیستم، یکپارچگی با تغییر ساختارهای سیستمی و در دسترس‌پذیری با امکان خرابی سیستم از طریق اجرای کد دلخواه است. محصولات آسیب‌پذیر شامل نسخه‌های مختلف ویندوز از Windows Server 2008 تا Windows 11 Version 25H2 هستند. مایکروسافت در به‌روزرسانی تجمعی (cumulative update) اکتبر 2025 درایور ltmdm64.sys را حذف کرده و هشدار داده است که سخت‌افزارهای مودم فکس وابسته به این درایور دیگر روی ویندوز کار نخواهند کرد؛ بنابراین حذف وابستگی‌های به این سخت‌افزار یا اعمال پچ های رسمی توصیه می‌شود.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 10.0.26200.0 before 10.0.26200.6899 Unknown Windows 11 Version 25H2
affected from 10.0.17763.0 before 10.0.17763.7919 x64-based Systems Windows 10 Version 1809
affected from 10.0.17763.0 before 10.0.17763.7919 x64-based Systems Windows Server 2019
affected from 10.0.17763.0 before 10.0.17763.7919 x64-based Systems Windows Server 2019 (Server Core installation)
affected from 10.0.20348.0 before 10.0.20348.4294 x64-based Systems Windows Server 2022
affected from 10.0.19044.0 before 10.0.19044.6456 x64-based Systems Windows 10 Version 21H2
affected from 10.0.22621.0 before 10.0.22621.6060 x64-based Systems Windows 11 version 22H2
affected from 10.0.19045.0 before 10.0.19045.6456 x64-based Systems Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.6899 x64-based Systems Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.6060 x64-based Systems Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.1913 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.6899 x64-based Systems Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.6899 x64-based Systems Windows Server 2025
affected from 10.0.10240.0 before 10.0.10240.21161 x64-based Systems Windows 10 Version 1507
affected from 10.0.14393.0 before 10.0.14393.8519 x64-based Systems Windows 10 Version 1607
affected from 10.0.14393.0 before 10.0.14393.8519 x64-based Systems Windows Server 2016
affected from 10.0.14393.0 before 10.0.14393.8519 x64-based Systems Windows Server 2016 (Server Core installation)
affected from 6.0.6003.0 before 6.0.6003.23571 x64-based Systems Windows Server 2008 Service Pack 2
affected from 6.0.6003.0 before 6.0.6003.23571 x64-based Systems Windows Server 2008 Service Pack 2 (Server Core installation)
affected from 6.1.7601.0 before 6.1.7601.27974 x64-based Systems Windows Server 2008 R2 Service Pack 1
affected from 6.1.7601.0 before 6.1.7601.27974 x64-based Systems Windows Server 2008 R2 Service Pack 1 (Server Core installation)
affected from 6.2.9200.0 before 6.2.9200.25722 x64-based Systems Windows Server 2012
affected from 6.2.9200.0 before 6.2.9200.25722 x64-based Systems Windows Server 2012 (Server Core installation)
affected from 6.3.9600.0 before 6.3.9600.22824 x64-based Systems Windows Server 2012 R2
affected from 6.3.9600.0 before 6.3.9600.22824 x64-based Systems Windows Server 2012 R2 (Server Core installation)

لیست محصولات بروز شده

Versions Platforms Product
10.0.26200.6899 Unknown Windows 11 Version 25H2
10.0.17763.7919 x64-based Systems Windows 10 Version 1809
10.0.17763.7919 x64-based Systems Windows Server 2019
10.0.17763.7919 x64-based Systems Windows Server 2019 (Server Core installation)
10.0.20348.4294 x64-based Systems Windows Server 2022
10.0.19044.6456 x64-based Systems Windows 10 Version 21H2
10.0.22621.6060 x64-based Systems Windows 11 version 22H2
10.0.19045.6456 x64-based Systems Windows 10 Version 22H2
10.0.26100.6899 x64-based Systems Windows Server 2025 (Server Core installation)
10.0.22631.6060 x64-based Systems Windows 11 Version 23H2
10.0.25398.1913 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.6899 x64-based Systems Windows 11 Version 24H2
10.0.26100.6899 x64-based Systems Windows Server 2025
10.0.10240.21161 x64-based Systems Windows 10 Version 1507
10.0.14393.8519 x64-based Systems Windows 10 Version 1607
10.0.14393.8519 x64-based Systems Windows Server 2016
10.0.14393.8519 x64-based Systems Windows Server 2016 (Server Core installation)
6.0.6003.23571 x64-based Systems Windows Server 2008 Service Pack 2
6.0.6003.23571 x64-based Systems Windows Server 2008 Service Pack 2 (Server Core installation)
6.1.7601.27974 x64-based Systems Windows Server 2008 R2 Service Pack 1
6.1.7601.27974 x64-based Systems Windows Server 2008 R2 Service Pack 1 (Server Core installation)
6.2.9200.25722 x64-based Systems Windows Server 2012
6.2.9200.25722 x64-based Systems Windows Server 2012 (Server Core installation)
6.3.9600.22824 x64-based Systems Windows Server 2012 R2
6.3.9600.22824 x64-based Systems Windows Server 2012 R2 (Server Core installation)

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
307,000 site:.ir “Microsoft” “Windows 10” Microsoft Windows 10
188,000 site:.ir “Microsoft” “Windows 11” Microsoft Windows 11
76,300 site:.ir “Microsoft” “Windows Server” Microsoft Windows Server

نتیجه گیری

این آسیب‌پذیری با شدت بالا در درایور Agere Modem سیستم‌عامل‌های ویندوز، از طریق سرریز بافر مبتنی بر پشته امکان افزایش سطح دسترسی به Administrator را فراهم می‌کند و می‌تواند منجر به کنترل کامل سیستم شود. با توجه به حذف درایور در به‌روزرسانی‌های اکتبر 2025 ، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

  • به‌روزرسانی فوری: تمام سیستم‌های ویندوز را از طریق Windows Update یا پورتال مایکروسافت به به‌روزرسانی تجمعی اکتبر 2025 به‌روزرسانی کنید تا درایور sys حذف شود.
  • حذف وابستگی سخت‌افزاری: سخت‌افزارهای مودم فکس وابسته به sys را حذف کنید، زیرا این درایور دیگر پشتیبانی نمی‌شود. از جایگزین‌های مدرن مانند مودم‌های USB یا راهکارهای VoIP استفاده کنید.
  • راهکارهای کاهش ریسک (Mitigations): درایور sys را با استفاده از Device Manager یا دستور sc delete غیرفعال کرده، از ابزارهایی مانند Autoruns برای شناسایی و حذف درایورهای مشکوک استفاده کنید و از سیاست‌های گروهی (Group Policy) برای جلوگیری از بارگذاری درایورهای شخص ثالث غیرضروری بهره ببرید.
  • محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کنید، احراز هویت دو مرحله‌ای (2FA) را فعال کرده و دسترسی به درایورهای سیستمی را با روش هایی مثل Windows Defender Application Control محدود کنید. برای سرورها، از IP Whitelisting و VPN استفاده نمایید.
  • نظارت بر لاگ‌ها: لاگ‌های درایور و کرنل را با ابزارهایی مانند Event Viewer یا Splunk مانیتور کرده و از سیستم‌های SIEM برای شناسایی تلاش‌های بهره‌برداری از IOCTLهای مشکوک استفاده کنید.
  • ایزوله‌سازی محیط: سیستم‌ها را در شبکه‌های جداگانه (Network Segmentation) قرار دهید، از مجازی‌سازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها استفاده کنید و درایورها را در محیط‌های سندباکس اجرا نمایید.
  • اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیب‌پذیری‌ها بررسی کنید و تست‌های نفوذ روی سناریوهای سرریز بافر انجام دهید.
  • آموزش: کاربران و مدیران را در مورد ریسک‌های درایورهای شخص ثالث قدیمی، اهمیت به‌روزرسانی‌های امنیتی و تشخیص افزایش سطح دسترسی آموزش دهید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی و حملات لوکال را به حداقل می‌رساند و امنیت سیستم‌های ویندوز را در برابر تهدیدات مرتبط با درایور Agere تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این آسیب‌پذیری نیاز به ورود فیزیکی یا دسترسی لوکال به سیستم دارد. مهاجم باید حساب کاربری استاندارد داشته باشد تا بتواند درخواست‌های IOCTL به درایور Agere Modem ارسال کند.

Execution (TA0002)
با ارسال ورودی‌های مخرب به درایور ltmdm64.sys از طریق فراخوانی‌های IOCTL، مهاجم می‌تواند کد دلخواه خود را با سطح دسترسی Administrator روی کرنل اجرا کند.

Privilege Escalation (TA0004)
اصلی‌ترین پیامد این آسیب‌پذیری افزایش سطح دسترسی از کاربر عادی به Administrator است. مهاجم با اجرای کد دلخواه در فضای کرنل می‌تواند تمام منابع سیستم را کنترل کند.

Defense Evasion (TA0005)
مهاجم می‌تواند برای پنهان‌سازی فعالیت‌ها، از پاک‌سازی لاگ‌ها یا ایجاد crash های گذرا استفاده کند.

Discovery (TA0007)
مهاجم می‌تواند با جستجوی درایورهای نصب‌شده و وضعیت سیستم، نقاط ضعف را شناسایی کند.

Collection (TA0009)
با دسترسی کرنل، مهاجم می‌تواند داده‌های حساس سیستم شامل فایل‌ها و اطلاعات سیستم‌عامل را جمع‌آوری کند.

Exfiltration (TA0010)
با بهره‌برداری از این آسیب‌پذیری مهاجم قادر به خارج‌کردن داده‌ها خواهد بود، مگر اینکه شبکه داخلی ایزوله و ترافیک حساس کنترل شود.

Impact (TA0040)
پیامد اصلی شامل نقض محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم است. مهاجم می‌تواند کد دلخواه را در کرنل اجرا کند، ساختارهای سیستمی را تغییر دهد و سرویس‌ها را مختل کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-24052
  2. https://www.cvedetails.com/cve/CVE-2025-24052/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24052
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24052
  5. https://vuldb.com/?id.328318
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-24052
  7. https://cwe.mitre.org/data/definitions/121.html

همچنین ممکن است دوست داشته باشید

CVE-2025-24983

CVE-2025-24985

CVE-2025-24991

CVE-2025-24993

CVE-2025-24063

CVE-2025-55315

CVE-2025-24404

CVE-2025-24197

CVE-2025-24206

CVE-2025-24088

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×