CVE-2025-24985

چکیده

آسیب‌پذیری سرریز یا چرخش عدد صحیح (Integer overflow or wraparound) در درایور Fast FAT ویندوز که به صورت پیش‌فرض در سیستم‌عامل‌های پشتیبانی‌شده ویندوز فعال است، به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد با بهره‌برداری لوکال، کد دلخواه را از راه دور اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-24985 در درایور Fast FAT File System ویندوز که برای مدیریت دیسک‌های با فرمت FAT (File Allocation Table) استفاده می‌شود، ناشی از سرریز یا چرخش عدد صحیح مطابق با CWE-190 و سرریز بافر مبتنی بر هیپ مطابق با CWE-122 است. به عبارت دیگر، مهاجم بدون نیاز به احراز هویت می‌تواند با ارسال ورودی‌های مخرب به درایور، مانند مونت کردن یک VHD (Virtual Hard Disk) یا وارد کردن رسانه‌های با فرمت FAT مخرب، حافظه هیپ را تخریب کرده و کد دلخواه را اجرا کند.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با استفاده از اسکریپت‌های C/C++ یا ابزارهای اکسپلویت فایل سیستم، به‌صورت لوکال و با تعامل کاربر (مانند فریب کاربر برای مونت کردن یک VHD یا وارد کردن رسانه FAT مخرب)، داده‌های مخرب را به درایور ارسال کند تا سرریز رخ دهد و کد دلخواه اجرا شود.

کد اثباتِ مفهومی (PoC) منتشرشده شامل یک ویدئوی نمایشی بوده و علاوه برآن سه بخش مجزا ارائه شده است؛ مورد اول PoC اجرایی که ورودی‌های ساختگی، مانند VHD یا رسانه FAT دستکاری‌شده تولید می‌کند تا مسیر حمله شامل integer overflow و سپس heap corruption را بازتولید کرده و نشان دهد درایور دچار کرش شده و در نمونه‌های آزمایشی ممکن است به اجرای کد لوکال یا افزایش سطح دسترسی بینجامد؛ مورد دوم اسکریپت پاورشل برای تشخیص (Detection) که به‌صورت غیرمخرب نسخه ویندوز را با بازه‌های آسیب‌پذیر تطبیق می‌دهد و وضعیت درایور fastfat و تنظیمات مونت VHD را بررسی و گزارش می‌کند (بدون ایجاد تغییر) و مورد سوم یک اسکریپت پاورشل برای کاهش ریسک (Mitigation) که اقدامات موقتی برای کاهش سطح حمله مانند غیرفعال‌سازی موقت درایور Fast FAT و اعمال تنظیم رجیستری یا سیاست‌های گروهی (Group Policy) برای محدودسازی مونت VHD به مدیران را انجام می‌دهد.

لازم به ذکر است، اسکریپت‌های Detection و Mitigation ابزارهای کمکی و موقتی‌اند و هرگز جایگزین نصب پچ رسمی مایکروسافت نیستند. اجرای هرکدام از این موارد باید فقط در محیط‌های ایزوله (VM / sandbox) انجام شود. برای این آسیب‌پذیری اکسپلویت فعال (Exploitation Detected) نیز گزارش شده و CISA این ضعف را در فهرست KEV ثبت کرده است.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با افشای داده‌های حساس سیستم، یکپارچگی با تغییر ساختارهای سیستمی و در دسترس‌پذیری با امکان خرابی سیستم از طریق اجرای کد دلخواه است. محصولات آسیب‌پذیر شامل نسخه‌های مختلف ویندوز از Windows Server 2008 تا Windows 11 Version 24H2 هستند. مایکروسافت در به‌روزرسانی مارس 2025 پچ امنیتی منتشر کرده و هشدار داده است که سیستم‌های بدون پچ در معرض بهره‌برداری لوکال قرار دارند؛ بنابراین اعمال پچ‌های رسمی یا کاهش ریسک از طریق محدودسازی تعاملات فایل و رسانه‌های FAT ضروری است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در درایور Fast FAT File System ویندوز، از طریق سرریز عدد صحیح و سرریز بافر مبتنی بر هیپ، امکان اجرای کد دلخواه لوکال را فراهم می‌کند و می‌تواند منجر به کنترل کامل سیستم شود. با توجه به انتشار پچ رسمی در به‌روزرسانی‌های مارس 2025 و وجود PoC عمومی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را از طریق Windows Update یا پورتال مایکروسافت به‌روزرسانی کنید تا آسیب‌پذیری رفع شود.
• غیرفعال‌سازی درایور Fast FAT: از اسکریپت‌های موقت کاهش ریسک برای غیرفعال کردن درایور و جلوگیری از مونت رسانه‌های FAT استفاده کنید.
• محدودسازی مونت VHD: از سیاست‌های گروهی (Group Policy) برای محدود کردن مونت VHD به مدیران استفاده کنید.
• حذف رسانه های مشکوک: رسانه‌های FAT و فایل‌های VHD مشکوک را بررسی و حذف کنید. از رسانه‌های تأییدشده یا فرمت‌های جایگزین استفاده نمایید.
• راهکارهای کاهش ریسک (Mitigations): سیستم فایل را با ابزارهایی مانند CHKDSK اسکن کنید، از Sysinternals Autoruns برای شناسایی فرآیندهای مشکوک استفاده کنید و از سیاست‌های گروهی برای جلوگیری از مونت کردن رسانه‌های خارجی غیرضروری بهره ببرید.
• محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کنید، احراز هویت دو مرحله‌ای (2FA) را فعال کرده، دسترسی به سیستم فایل را محدود کنید و برای سرورها، از IP Whitelisting و VPN استفاده نمایید.
• نظارت بر لاگ‌ها: لاگ‌های فایل سیستم و کرنل را با ابزارهایی مانند Event Viewer یا Splunk مانیتور کرده و از سیستم‌های SIEM برای شناسایی تلاش‌های بهره‌برداری از VHDها یا رسانه‌های FAT مشکوک استفاده کنید.
• ایزوله‌سازی محیط: سیستم‌ها را در شبکه‌های جداگانه (Network Segmentation) قرار دهید، از مجازی‌سازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها استفاده کنید و رسانه‌های خارجی را در محیط‌های سندباکس اجرا نمایید.
• اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیب‌پذیری‌ها بررسی کنید و تست‌های نفوذ روی سناریوهای سرریز عدد صحیح و سرریز بافر انجام دهید.
• آموزش: کاربران و مدیران را در مورد ریسک‌های رسانه‌های خارجی، اهمیت به‌روزرسانی‌های امنیتی و تشخیص تلاش‌های فریب برای مونت کردن VHDها یا رسانه‌های FAT مخرب آموزش دهید.

اجرای این اقدامات، ریسک اجرای کد دلخواه و حملات لوکال را به حداقل می‌رساند و امنیت سیستم‌های ویندوز را در برابر تهدیدات مرتبط با درایور Fast FAT تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم معمولاً از طریق تعامل کاربر یا وارد کردن رسانه‌های خارجی استفاده می‌کند — مثال‌های عملی شامل مونت کردن یک VHD دستکاری‌شده، وصل کردن یک درایو USB با پارتیشن FAT مخرب یا باز کردن فایل‌های حاوی تصویر دیسک است.

Execution (TA0002)
این ضعف منجر به سرریز عدد صحیح و سپس heap corruption در درایور Fast FAT می‌شود که می‌تواند اجرای کد دلخواه در فضای کرنل یا سطح سیستم را فراهم کند

Credential Access (TA0006)
پس از اجرای کد یا کنترل سیستم، مهاجم می‌تواند فایل‌های محلی شامل credentialها، فایل‌های بکاپ یا connection stringها را بخواند یا حافظه را dump کند

Discovery (TA0007)
مهاجم برای پیشبرد حمله وضعیت سیستم و درایورها را بررسی می‌کند: فهرست درایوهای مونت‌شده، نسخه درایور fastfat، و لاگ‌های کرش میتواند شناسایی شود

Privilege Escalation (TA0004)
اجرای کد در فضای کرنل یا تغییر ساختارهای درایور عملاً به مهاجم امکان ارتقاء امتیاز به SYSTEM را می‌دهد

Defense Evasion (TA0005)
مهاجم می‌تواند با پاک‌سازی لاگ‌های محلی، مخفی‌کردن فایل‌ها یا تغییر timestampها و همچنین استفاده از رسانه‌های فیزیکی برای ورود، ردپاها را محو کند

Lateral Movement (TA0008)
با دسترسی سطح سیستم مهاجم ممکن است بتواند از طریق SMB، mapped drives یا SQL/agent jobs به میزبان‌های دیگر حرکت کند

Collection (TA0009)
مهاجم می‌تواند داده‌ها مانند فایل‌های حساس، snapshotها، و memory dumps را به‌صورت محلی جمع‌آوری کند

Exfiltration (TA0010)
پس از جمع‌آوری، داده‌ها ممکن است از طریق کانال‌های شبکه‌ای یا رسانه‌های خارجی منتقل شوند

Impact (TA0040)
پیامدهای فنی شامل اجرای کد از راه دور (Local→RCE)، نقض محرمانگی (دسترسی به داده‌ها)، نقض یکپارچگی (تغییر/حذف فایل‌ها یا بارگذاری ماژول‌های مخرب) و کاهش دسترس‌پذیری است. در محیط‌های حساس این می‌تواند به کنترل کامل میزبان و persistence سطح کرنل منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-24985
2. https://www.cvedetails.com/cve/CVE-2025-24985/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24985
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24985
5. https://vuldb.com/?id.299358
6. https://www.vicarius.io/vsociety/posts/cve-2025-24985-integer-overflow-vulnerability-in-microsoft-windows-fast-fat-driver-mitigation-script
7. https://www.vicarius.io/vsociety/posts/cve-2025-24985-integer-overflow-vulnerability-in-microsoft-windows-fast-fat-driver-detection-script
8. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-24985
9. https://nvd.nist.gov/vuln/detail/CVE-2025-24985
10. https://cwe.mitre.org/data/definitions/190.html
11. https://cwe.mitre.org/data/definitions/122.html