CVE-2025-24983

شناسه CVE-2025-24983 :CVE
CWE-416 :CWE
yes :Advisory
منتشر شده: مارس 11, 2025
به روز شده: می 19, 2025
امتیاز: 7.0
نوع حمله: Use after free

اثر گذاری: Privilege Escalation
حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
برند: Microsoft
محصول: Windows
وضعیتPublished :CVE
No :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) در زیرسیستم کرنل Win32 ویندوز شناسایی شده است. این آسیب پذیری به مهاجمان احراز هویت شده با دسترسی محدود اجازه می‌دهد با بهره‌برداری لوکال، سطح دسترسی خود را به سطح SYSTEM افزایش دهند.

توضیحات

آسیب‌پذیری CVE-2025-24983 در زیرسیستم کرنل Win32 ویندوز که مسئول مدیریت رابط‌های گرافیکی و تعاملات سطح پایین سیستم است ناشی از استفاده پس از آزادسازی مطابق با CWE-416 می باشد. به این معنا که زیرسیستم کرنل Win32 به بخشی از حافظه اشاره می‌کند که قبلاً آزاد شده و ممکن است توسط مهاجم دستکاری شود.

مهاجم با دسترسی محدود می‌تواند به صورت لوکال و با موفقیت در یک شرایط رقابتی (race condition)، حافظه آزادشده را مجدداً استفاده کند و در نتیجه اجرای کد در سطح کرنل و ارتقا به سطح SYSTEM را محقق سازد. بهره‌برداری از این ضعف از نظر فنی پیچیده بوده و نیازمند زمان‌بندی دقیق و دانش پیشرفته است؛ با این حال گزارش‌هایی از اکسپلویت فعال (Exploitation Detected) و وجود کد اکسپلویت عملکردی منتشر شده و CISA این ضعف را در فهرست KEV ثبت کرده است.

پیامدهای آن شامل نقض محرمانگی، یکپارچگی و در دسترس‌پذیری است، زیرا مهاجم می‌تواند کنترل کامل سیستم را به دست آورد، داده‌های حساس را افشا کند، تغییرات سیستمی غیرمجاز انجام دهد یا سیستم را از دسترس خارج کند.

محصولات آسیب‌پذیر شامل نسخه‌های مختلف ویندوز از Windows Server 2008 تا Windows 10 Version 1607 هستند. مایکروسافت در به‌روزرسانی مارس 2025 پچ امنیتی منتشر کرده و هشدار داده است که سیستم‌های بدون پچ در معرض افزایش سطح دسترسی قرار دارند؛ بنابراین اعمال پچ‌های رسمی یا کاهش ریسک از طریق محدودسازی دسترسی‌های کاربر ضروری است.

CVSS

Score	Severity	Version	Vector String
7.0	HIGH	3.1	CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 10.0.10240.0 before 10.0.10240.20947	32-bit Systems, x64-based Systems	Windows 10 Version 1507
affected from 10.0.14393.0 before 10.0.14393.7876	32-bit Systems, x64-based Systems	Windows 10 Version 1607
affected from 10.0.14393.0 before 10.0.14393.7876	x64-based Systems	Windows Server 2016
affected from 10.0.14393.0 before 10.0.14393.7876	x64-based Systems	Windows Server 2016 (Server Core installation)
affected from 6.0.6003.0 before 6.0.6003.23168	32-bit Systems	Windows Server 2008 Service Pack 2
affected from 6.0.6003.0 before 6.0.6003.23168	32-bit Systems, x64-based Systems	Windows Server 2008 Service Pack 2 (Server Core installation)
affected from 6.0.6003.0 before 6.0.6003.23168	x64-based Systems	Windows Server 2008 Service Pack 2
affected from 6.1.7601.0 before 6.1.7601.27618	x64-based Systems	Windows Server 2008 R2 Service Pack 1
affected from 6.1.7601.0 before 6.1.7601.27618	x64-based Systems	Windows Server 2008 R2 Service Pack 1 (Server Core installation)
affected from 6.2.9200.0 before 6.2.9200.25368	x64-based Systems	Windows Server 2012
affected from 6.2.9200.0 before 6.2.9200.25368	x64-based Systems	Windows Server 2012 (Server Core installation)
affected from 6.3.9600.0 before 6.3.9600.22470	x64-based Systems	Windows Server 2012 R2
affected from 6.3.9600.0 before 6.3.9600.22470	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

لیست محصولات بروز شده

Versions	Platforms	Product
10.0.10240.20947	32-bit Systems, x64-based Systems	Windows 10 Version 1507
10.0.14393.7876	32-bit Systems, x64-based Systems	Windows 10 Version 1607
10.0.14393.7876	x64-based Systems	Windows Server 2016
10.0.14393.7876	x64-based Systems	Windows Server 2016 (Server Core installation)
6.0.6003.23168	32-bit Systems	Windows Server 2008 Service Pack 2
6.0.6003.23168	32-bit Systems, x64-based Systems	Windows Server 2008 Service Pack 2 (Server Core installation)
6.0.6003.23168	x64-based Systems	Windows Server 2008 Service Pack 2
6.1.7601.27618	x64-based Systems	Windows Server 2008 R2 Service Pack 1
6.1.7601.27618	x64-based Systems	Windows Server 2008 R2 Service Pack 1 (Server Core installation)
6.2.9200.25368	x64-based Systems	Windows Server 2012
6.2.9200.25368	x64-based Systems	Windows Server 2012 (Server Core installation)
6.3.9600.22470	x64-based Systems	Windows Server 2012 R2
6.3.9600.22470	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

Search Query (Dork)

Product

307,000

site:.ir “Microsoft” “Windows 10”

Microsoft Windows 10

76,300

site:.ir “Microsoft” “Windows Server”

Microsoft Windows Server

نتیجه گیری

این آسیب‌پذیری با شدت بالا در زیرسیستم کرنل Win32 ویندوز، از طریق استفاده پس از آزادسازی، امکان افزایش سطح دسترسی به SYSTEM را فراهم می‌کند و می‌تواند منجر به کنترل کامل سیستم شود. با توجه به پچ منتشرشده در به‌روزرسانی‌های مارس 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

به‌روزرسانی فوری: تمام سیستم‌های ویندوز را از طریق Windows Update یا پورتال مایکروسافت به‌روزرسانی کنید تا آسیب‌پذیری رفع شود.
محدودسازی دسترسی کاربران: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کرده و حساب‌های کاربری با دسترسی محدود را به دقت مدیریت کنید. احراز هویت دو مرحله‌ای (2FA) را فعال کرده و دسترسی به عملیات حساس کرنل را با AppLocker یا Windows Defender Application Control کنترل کنید.
نظارت بر فعالیت‌های مشکوک: از ابزارهایی مانند Sysinternals Process Monitor یا Event Viewer برای شناسایی فعالیت‌های مشکوک مرتبط با زیرسیستم Win32 استفاده کنید. سیستم‌های SIEM را برای مانیتورینگ لاگ‌های کرنل و تشخیص تلاش‌های بهره‌برداری مستقر کنید.
ایزوله‌سازی محیط: سیستم‌ها را در شبکه‌های جداگانه (Network Segmentation) قرار دهید و از مجازی‌سازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها استفاده کنید.
اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیب‌پذیری‌ها بررسی کنید و تست‌های نفوذ روی سناریوهای استفاده پس از آزادسازی انجام دهید.
آموزش: کاربران و مدیران را در مورد اهمیت به‌روزرسانی‌های امنیتی و ریسک مرتبط با اجرای برنامه‌های مشکوک یا فرآیندهای غیرمجاز آموزش دهید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی و حملات لوکال را به حداقل می‌رساند و امنیت سیستم‌های ویندوز را در برابر تهدیدات مرتبط با زیرسیستم کرنل Win32 تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این آسیب‌پذیری به مهاجم اجازه نمی‌دهد از راه دور بدون دسترسی اولیه وارد سیستم شود؛ دسترسی اولیه باید به صورت محلی با حساب کاربری محدود وجود داشته باشد. مهاجم می‌تواند با ورود محلی و تعامل با سیستم آسیب‌پذیر شرایط اجرای کد در کرنل را ایجاد کند

Privilege Escalation (TA0004)
آسیب‌پذیری Use After Free در زیرسیستم Win32 کرنل امکان افزایش سطح دسترسی به SYSTEM را فراهم می‌کند.

Defense Evasion (TA0005)
مهاجم ممکن است با پاکسازی یا دستکاری موقت حافظه آزادشده، تلاش‌های خود را مخفی کند.

Lateral Movement (TA0008)
این آسیب‌پذیری به‌تنهایی توانایی حرکت جانبی از طریق شبکه را فراهم نمی‌کند، اما پس از به‌دست‌آوردن دسترسی SYSTEM، مهاجم می‌تواند به منابع دیگر سرایت کند.

Discovery (TA0007)
پس از به‌دست‌آوردن SYSTEM، مهاجم می‌تواند اطلاعات سیستم، کاربران و شبکه را کشف کند.

Collection (TA0009)
این آسیب‌پذیری به‌تنهایی داده‌ها را جمع‌آوری نمی‌کند، اما دسترسی SYSTEM اجازه خواندن فایل‌ها و داده‌های حساس را به مهاجم می‌دهد.

Exfiltration (TA0010)
دسترسی SYSTEM می‌تواند منجر به خروج داده‌ها از سیستم شود.

Impact (TA0040)
پیامد اصلی کنترل کامل سیستم است؛ مهاجم می‌تواند داده‌ها را افشا کرده، تغییرات غیرمجاز ایجاد کند یا سیستم را از دسترس خارج نماید.

منابع

CVE-2025-24983

Windows Win32 Kernel Subsystem Elevation Of Privilege Vulnerability

CVE-2025-24985

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ