CVE-2025-24990

شناسه CVE-2025-24990 :CVE
CWE-822 :CWE
yes :Advisory
منتشر شده: اکتبر 14, 2025
به روز شده: اکتبر 17, 2025
امتیاز: 7.8
نوع حمله: Unknown

اثر گذاری: Privilege Escalation
حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
برند: Microsoft
محصول: Windows
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری ارجاع به اشاره‌گر غیرقابل اعتماد در درایور Agere Modem که به صورت پیش‌فرض در سیستم‌عامل‌های پشتیبانی‌شده ویندوز نصب می‌شود، به مهاجمان اجازه می‌دهد با بهره‌برداری لوکال، سطح دسترسی خود را به سطح مدیر سیستم (Administrator Privileges) افزایش دهند.

توضیحات

آسیب‌پذیری CVE-2025-24990 در درایور Agere Modem (ltmdm64.sys، درایور قدیمی برای مودم‌های فکس که به صورت پیش‌فرض در سیستم‌عامل‌های ویندوز نصب شده است) روی تمام سیستم های مبتنی بر x64-based Systems شناسایی شده است.

این ضعف ناشی از ارجاع به اشاره‌گر غیرقابل است و مطابق با CWE-822 طبقه‌بندی می‌شود. به عبارت دیگر، برخی از IOCTLها در این درایور از حالت METHOD_NEITHER استفاده کرده اما بررسی نمی‌کنند که آدرس بافری که کاربر ارائه می‌دهد در حالت کاربر (User-Mode) است یا کرنل (Kernel-Mode) و به همین دلیل مهاجم می‌تواند آدرس‌های کرنل را دستکاری کند.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا برنامه‌های C/C++ که IOCTLهای درایور را هدف می‌گیرند (مثلاً IOCTL 0x802b2003, 0x802b2207, 0x802b2243)، به‌صورت لوکال و بدون تعامل کاربر، ابتدا مقدار نسخه را در آدرس دلخواه بنویسد، سپس اشاره‌گرهای جهانی را بازنویسی کند و با استفاده از منشأهایی مانند کاهش دلخواه (Arbitrary Decrement) به خواندن یا نوشتن دلخواه در فضای کرنل (Arbitrary Read/Write) دست یابد. این اکسپلویت در سناریوهایی مانند بارگذاری دستی درایور آسیب‌پذیر (BYOVD, Bring Your Own Vulnerable Driver) قابل اجرا است.

همچنین یک کد اثباتِ مفهومی (PoC) عمومی در GitHub منتشر شده که از تکنیک‌هایی مانند IO-Ring (io_uring) در Windows 11 22H2+ برای غیرفعال‌سازی محافظت‌پذیری فرآیندها (PPL,Protected Process Light) و به دست آوردن افزایش سطح دسترسی استفاده می‌کند. پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با افشای داده‌های حساس کرنل، یکپارچگی با تغییر ساختارهای کرنل و افزایش سطح دسترسی و در دسترس‌پذیری با امکان اختلال در سیستم از طریق اجرای کد دلخواه است.

نکته مهم این است که این ضعف حتی در صورت غیرفعال بودن مودم قابل سوءاستفاده بوده و طبق گزارش مایکروسافت بهره‌برداری واقعی (exploitation) نیز مشاهده شده است. مایکروسافت در به‌روزرسانی تجمعی (cumulative update) ماه اکتبر 2025 این درایور را حذف کرده و آن را پچ شده اعلام نموده است؛ بنابراین به‌روزرسانی فوری به بسته‌های امنیتی اکتبر 2025 یا بیلدهای بعدی توصیه می‌شود. این آسیب‌پذیری توسط CISA به فهرست KEV اضافه شده است.

CVSS

Score	Severity	Version	Vector String
7.8	HIGH	3.1	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 10.0.26200.0 before 10.0.26200.6899	Unknown	Windows 11 Version 25H2
affected from 10.0.17763.0 before 10.0.17763.7919	x64-based Systems	Windows 10 Version 1809
affected from 10.0.17763.0 before 10.0.17763.7919	x64-based Systems	Windows Server 2019
affected from 10.0.17763.0 before 10.0.17763.7919	x64-based Systems	Windows Server 2019 (Server Core installation)
affected from 10.0.20348.0 before 10.0.20348.4294	x64-based Systems	Windows Server 2022
affected from 10.0.19044.0 before 10.0.19044.6456	x64-based Systems	Windows 10 Version 21H2
affected from 10.0.22621.0 before 10.0.22621.6060	x64-based Systems	Windows 11 version 22H2
affected from 10.0.19045.0 before 10.0.19045.6456	x64-based Systems	Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.6899	x64-based Systems	Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.6060	x64-based Systems	Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.1913	x64-based Systems	Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.6899	x64-based Systems	Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.6899	x64-based Systems	Windows Server 2025
affected from 10.0.10240.0 before 10.0.10240.21161	x64-based Systems	Windows 10 Version 1507
affected from 10.0.14393.0 before 10.0.14393.8519	x64-based Systems	Windows 10 Version 1607
affected from 10.0.14393.0 before 10.0.14393.8519	x64-based Systems	Windows Server 2016
affected from 10.0.14393.0 before 10.0.14393.8519	x64-based Systems	Windows Server 2016 (Server Core installation)
affected from 6.0.6003.0 before 6.0.6003.23571	x64-based Systems	Windows Server 2008 Service Pack 2
affected from 6.0.6003.0 before 6.0.6003.23571	x64-based Systems	Windows Server 2008 Service Pack 2 (Server Core installation)
affected from 6.1.7601.0 before 6.1.7601.27974	x64-based Systems	Windows Server 2008 R2 Service Pack 1
affected from 6.1.7601.0 before 6.1.7601.27974	x64-based Systems	Windows Server 2008 R2 Service Pack 1 (Server Core installation)
affected from 6.2.9200.0 before 6.2.9200.25722	x64-based Systems	Windows Server 2012
affected from 6.2.9200.0 before 6.2.9200.25722	x64-based Systems	Windows Server 2012 (Server Core installation)
affected from 6.3.9600.0 before 6.3.9600.22824	x64-based Systems	Windows Server 2012 R2
affected from 6.3.9600.0 before 6.3.9600.22824	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

لیست محصولات بروز شده

Versions	Platforms	Product
10.0.26200.6899	Unknown	Windows 11 Version 25H2
10.0.17763.7919	x64-based Systems	Windows 10 Version 1809
10.0.17763.7919	x64-based Systems	Windows Server 2019
10.0.17763.7919	x64-based Systems	Windows Server 2019 (Server Core installation)
10.0.20348.4294	x64-based Systems	Windows Server 2022
10.0.19044.6456	x64-based Systems	Windows 10 Version 21H2
10.0.22621.6060	x64-based Systems	Windows 11 version 22H2
10.0.19045.6456	x64-based Systems	Windows 10 Version 22H2
10.0.26100.6899	x64-based Systems	Windows Server 2025 (Server Core installation)
10.0.22631.6060	x64-based Systems	Windows 11 Version 23H2
10.0.25398.1913	x64-based Systems	Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.6899	x64-based Systems	Windows 11 Version 24H2
10.0.26100.6899	x64-based Systems	Windows Server 2025
10.0.10240.21161	x64-based Systems	Windows 10 Version 1507
10.0.14393.8519	x64-based Systems	Windows 10 Version 1607
10.0.14393.8519	x64-based Systems	Windows Server 2016
10.0.14393.8519	x64-based Systems	Windows Server 2016 (Server Core installation)
6.0.6003.23571	x64-based Systems	Windows Server 2008 Service Pack 2
6.0.6003.23571	x64-based Systems	Windows Server 2008 Service Pack 2 (Server Core installation)
6.1.7601.27974	x64-based Systems	Windows Server 2008 R2 Service Pack 1
6.1.7601.27974	x64-based Systems	Windows Server 2008 R2 Service Pack 1 (Server Core installation)
6.2.9200.25722	x64-based Systems	Windows Server 2012
6.2.9200.25722	x64-based Systems	Windows Server 2012 (Server Core installation)
6.3.9600.22824	x64-based Systems	Windows Server 2012 R2
6.3.9600.22824	x64-based Systems	Windows Server 2012 R2 (Server Core installation)

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
307,000	site:.ir “Microsoft” “Windows 10”	Microsoft Windows 10
188,000	site:.ir “Microsoft” “Windows 11”	Microsoft Windows 11
76,300	site:.ir “Microsoft” “Windows Server”	Microsoft Windows Server

نتیجه گیری

این آسیب‌پذیری با شدت بالا در درایور Agere Modem سیستم‌عامل‌های ویندوز، امکان ارجاع به اشاره‌گر غیرقابل اعتماد و افزایش سطح دسترسی به مدیر سیستم را فراهم می‌کند و می‌تواند منجر به اجرای کد دلخواه یا کنترل کامل سیستم شود. با توجه به انتشار پچ رسمی (حذف درایور در به‌روزرسانی اکتبر 2025) و اضافه شدن به فهرست KEV توسط CISA، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

به‌روزرسانی فوری: تمام سیستم‌های ویندوز را از طریق Windows Update یا پورتال مایکروسافت به به‌روزرسانی تجمعی اکتبر 2025 به‌روزرسانی کنید تا درایور sys حذف شود.
راهکارهای کاهش ریسک (Mitigations): وابستگی‌های سخت‌افزاری به مودم‌های فکس مبتنی بر این درایور را حذف کنید، درایور را به‌صورت دستی غیرفعال نمایید (با استفاده از Device Manager یا sc delete ltmdm64_srv) و از ابزارهایی مانند Autoruns برای بررسی و حذف درایورهای قدیمی استفاده کنید. همچنین، از سیاست‌های گروهی (Group Policy) برای جلوگیری از بارگذاری درایورهای آسیب‌پذیر بهره ببرید.
محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کنید، احراز هویت دو مرحله‌ای (2FA) را فعال نمایید و دسترسی به کرنل سیستم را با ابزارهایی مانند Windows Defender Application Control محدود کنید. برای سرورها، از IP whitelisting و VPN استفاده نمایید.
نظارت بر لاگ‌ها: لاگ‌های سیستم و درایورها را با ابزارهایی مانند Event Viewer یا Splunk مانیتور کنید و از سیستم‌های SIEM برای شناسایی تلاش‌های بهره‌برداری از IOCTLهای مشکوک استفاده نمایید.
ایزوله‌سازی محیط: سیستم‌ها را در شبکه‌های جداگانه (Network Segmentation) قرار دهید و از مجازی‌سازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها بهره ببرید. درایورها را در محیط‌های سندباکس اجرا کنید.
اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیب‌پذیری‌ها بررسی کنید و تست‌های نفوذ روی سناریوهای BYOVD انجام دهید.
آموزش: کاربران و مدیران را در مورد ریسک‌های درایورهای قدیمی، اهمیت به‌روزرسانی‌های امنیتی و تشخیص افزایش سطح دسترسی آموزش دهید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی و حملات لوکال را به حداقل می‌رساند و امنیت سیستم‌های ویندوز را در برابر تهدیدات شناخته‌شده تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم معمولاً از دسترسی لوکال یا سناریوی BYOVD (Bring Your Own Vulnerable Driver) برای ورود اولیه استفاده می‌کند؛ یعنی یا با داشتن دسترسی اجرای باینری روی میزبان درایور آسیب‌پذیر را بارگذاری می‌کند

Execution (TA0002)
این آسیب‌پذیری اجازه اجرای کد در فضای کرنل یا دستکاری مستقیم ساختارهای کرنل را فراهم می‌کند؛ PoC های منتشرشده تکنیک‌های I/O Rings و مسیرهای دورزدن محافظت‌هایی مثل PPL را نشان می‌دهند که می‌تواند به اجرای دستورالعمل‌های دلخواه در سطح کرنل یا تزریق کد منجر شود

Credential Access (TA0006)
با دسترسی به فضای کرنل مهاجم می‌تواند توکن‌ها یا ساختارهای اعتبارسنجی مانند توکن‌های NT, LSA secrets را خوانده یا بازنویسی کند و به‌سرعت امتیازات سیستم (SYSTEM) را به‌دست آورد

Discovery (TA0007)
مهاجم پس از ورود به سیستم به‌سرعت اطلاعات محیط را جمع‌آوری می‌کند: لیست درایورهای نصب‌شده، نسخه‌های ویندوز و بیلد، device names مربوط به ltmdm/Agere و مجوزهای محلی برای بارگذاری درایور

Privilege Escalation (TA0004)
این تاکتیک ماهیت اصلی CVE است: ارجاع به اشاره‌گر غیرقابل‌اعتماد و IOCTLهای METHOD_NEITHER باعث می‌شود مهاجم بتواند اشاره‌گرهای جهانی را بازنویسی کند و با خواندن/نوشتن دلخواه سطح دسترسی خود را به SYSTEM/Kernel افزایش دهد

Defense Evasion (TA0005)
مهاجم می‌تواند با پاک‌سازی لاگ‌ها، تغییر pointers کرنل و استفاده از تکنیک‌های PPL-bypass یا بارگذاری درایور با نام امضاء جعلی ردپاها را محو کند

Lateral Movement (TA0008)
پس از کسب امتیاز SYSTEM مهاجم می‌تواند اعتبارهای محلی را دزدیده و از آنها برای حرکت افقی استفاده کند

Collection (TA0009)
با دسترسی کرنل مهاجم قادر به خواندن اطلاعات حساس حافظه، فایل‌های رمزنگاری‌شده محلی یا داده‌های محافظت‌شده در حافظه است

Impact (TA0040)
اثرات فنی شامل نقض محرمانگی (افشای توکن‌ها/داده‌های کرنل)، نقض یکپارچگی (تغییر ساختارها/بارگذاری ماژول‌های دلخواه) و کاهش دسترس‌پذیری (crash/denial) است؛ در محیط‌های حساس این می‌تواند منجر به کنترل کامل میزبان یا دامنه، ایجاد persistence در سطح کرنل و خسارت بلندمدت عملیات شود.

منابع

CVE-2025-24990

Windows Agere Modem Driver Elevation Of Privilege Vulnerability

🔥 پنج آسیب‌پذیری جدید اکسپلویت شده در فهرست CISA؛ مایکروسافت و اوراکل در میان اهداف!

🧩 کشف ۱۳۱ افزونه مخرب کروم که از نسخه وب واتساپ برای کمپین گسترده اسپم استفاده می‌کنند!

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ