- شناسه CVE-2025-24991 :CVE
- CWE-125 :CWE
- yes :Advisory
- منتشر شده: مارس 11, 2025
- به روز شده: می 19, 2025
- امتیاز: 5.5
- نوع حمله: Out-of-bounds read
- اثر گذاری: Information Disclosure
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری خواندن خارج از محدوده(Out-of-bounds read) در NTFS ویندوز که به صورت پیشفرض در سیستمعاملهای پشتیبانیشده ویندوز فعال است، به مهاجمان احراز هویت شده اجازه میدهد با بهرهبرداری لوکال، اطلاعات حساس موجود در حافظه هیپ را افشا کنند.
توضیحات
آسیبپذیری CVE-2025-24991 در NTFS (New Technology File System، سیستم فایل پیشفرض ویندوز برای مدیریت دادهها روی دیسک)، ناشی از خواندن خارج از محدوده (Out-of-bounds Read) است و مطابق با CWE-125 طبقهبندی میشود. به عبارت دیگر، مهاجم احراز هویت شده میتواند با ارسال ورودیهای مخرب به سیستم فایل، بخشهایی از حافظه هیپ (Heap Memory) را بخواند و اطلاعات حساس را استخراج کند.
بهرهبرداری از این ضعف مستلزم همکاری یا فریب کاربر هدف است؛ معمولترین سناریو این است که مهاجم کاربر را ترغیب کند تا یک فایل ایمیج دیسک مجازی (VHD, Virtual Hard Disk) مخصوص ساختهشده را مونت (mount) نماید. وقتی VHD مخرب مونت شود، NTFS دادههای دستکاری شده متادیتا داخل آن را پردازش میکند و در نتیجه شرایط خواندن خارج از محدوده فعال میشود و ممکن است مقدار یا مقادیر کمی از حافظه هیپ افشا گردد (مونت کردن یعنی اتصال فایل ایمیج یا دستگاه ذخیرهسازی به ساختار دایرکتوری سیستمعامل تا محتویات آن در دسترس قرار گیرد).
برای این آسیبپذیری اکسپلویت فعال (Exploitation Detected) گزارش شده و CISA این ضعف را در فهرست KEV ثبت کرده است. پیامد این آسیبپذیری نقض محرمانگی با افشای دادههای حساس موجود در حافظه هیپ، مانند اطلاعات سیستمی یا دادههای کاربر است.محصولات آسیبپذیر شامل نسخههای مختلف ویندوز از Windows Server 2008 تا Windows 11 Version 24H2 هستند. مایکروسافت در بهروزرسانی مارس 2025 پچ امنیتی منتشر کرده و هشدار داده است که سیستمهای بدون پچ در معرض افشای اطلاعات قرار دارند؛ بنابراین اعمال پچهای رسمی یا کاهش ریسک از طریق محدودسازی تعاملات فایل ضروری است.
CVSS
| Score | Severity | Version | Vector String |
| 5.5 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:F/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.17763.0 before 10.0.17763.7009 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| affected from 10.0.17763.0 before 10.0.17763.7009 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.7009 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.3328 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.19044.0 before 10.0.19044.5608 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| affected from 10.0.22621.0 before 10.0.22621.5039 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| affected from 10.0.19045.0 before 10.0.19045.5608 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| affected from 10.0.26100.0 before 10.0.26100.3476 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.22631.0 before 10.0.22631.5039 | ARM64-based Systems | Windows 11 version 22H3 |
| affected from 10.0.22631.0 before 10.0.22631.5039 | x64-based Systems | Windows 11 Version 23H2 |
| affected from 10.0.25398.0 before 10.0.25398.1486 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.3476 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26100.0 before 10.0.26100.3476 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.10240.0 before 10.0.10240.20947 | 32-bit Systems, x64-based Systems | Windows 10 Version 1507 |
| affected from 10.0.14393.0 before 10.0.14393.7876 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| affected from 10.0.14393.0 before 10.0.14393.7876 | x64-based Systems | Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.7876 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23168 | 32-bit Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.0.6003.0 before 6.0.6003.23168 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23168 | x64-based Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.1.7601.0 before 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| affected from 6.1.7601.0 before 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| affected from 6.2.9200.0 before 6.2.9200.25368 | x64-based Systems | Windows Server 2012 |
| affected from 6.2.9200.0 before 6.2.9200.25368 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.17763.7009 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| 10.0.17763.7009 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.7009 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.3328 | x64-based Systems | Windows Server 2022 |
| 10.0.19044.5608 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| 10.0.22621.5039 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| 10.0.19045.5608 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| 10.0.26100.3476 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.22631.5039 | ARM64-based Systems | Windows 11 version 22H3 |
| 10.0.22631.5039 | x64-based Systems | Windows 11 Version 23H2 |
| 10.0.25398.1486 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.3476 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26100.3476 | x64-based Systems | Windows Server 2025 |
| 10.0.10240.20947 | 32-bit Systems, x64-based Systems | Windows 10 Version 1507 |
| 10.0.14393.7876 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| 10.0.14393.7876 | x64-based Systems | Windows Server 2016 |
| 10.0.14393.7876 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| 6.0.6003.23168 | 32-bit Systems | Windows Server 2008 Service Pack 2 |
| 6.0.6003.23168 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| 6.0.6003.23168 | x64-based Systems | Windows Server 2008 Service Pack 2 |
| 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| 6.2.9200.25368 | x64-based Systems | Windows Server 2012 |
| 6.2.9200.25368 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 307,000 | site:.ir “Microsoft” “Windows 10” | Microsoft Windows 10 |
| 188,000 | site:.ir “Microsoft” “Windows 11” | Microsoft Windows 11 |
| 76,300 | site:.ir “Microsoft” “Windows Server” | Microsoft Windows Server |
نتیجه گیری
این آسیبپذیری با شدت متوسط در NTFS سیستمعاملهای ویندوز، از طریق خواندن خارج از محدوده امکان افشای اطلاعات حساس موجود در حافظه هیپ را فراهم میکند و میتواند منجر به نقض محرمانگی سیستم شود. با توجه به پچ منتشرشده در بهروزرسانیهای مارس 2025، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: تمام سیستمهای ویندوز را از طریق Windows Update یا پورتال مایکروسافت با پچ های امنیتی مارس 2025 بهروزرسانی کنید تا آسیبپذیری رفع شود.
- حذف وابستگیهای غیرضروری: فایلهای VHD یا دیسکهای مجازی مشکوک را بررسی و حذف کنید، زیرا بهرهبرداری از طریق مونت کردن آنها رخ میدهد و از جایگزینهای امن مانند دیسکهای مجازی تأییدشده استفاده کنید.
- راهکارهای کاهش ریسک: (Mitigations) NTFS را با استفاده از ابزارهایی مانند CHKDSK یا Disk Management اسکن کنید، از ابزارهایی مانند Sysinternals Autoruns برای شناسایی فرآیندهای مشکوک استفاده کنید و از سیاستهای گروهی (Group Policy) برای جلوگیری از مونت کردن فایلهای خارجی غیرضروری بهره ببرید.
- محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کنید، احراز هویت دو مرحلهای (2FA) را فعال کرده ، دسترسی به سیستم فایل را با AppLocker یا Windows Defender Application Control محدود کنید و برای سرورها، از IP Whitelisting و VPN استفاده نمایید.
- نظارت بر لاگها: لاگهای فایل سیستم و کرنل را با ابزارهایی مانند Event Viewer یا Splunk مانیتور کرده و از سیستمهای SIEM برای شناسایی تلاشهای بهرهبرداری از VHDهای مشکوک استفاده کنید.
- ایزولهسازی محیط: سیستمها را در شبکههای جداگانه (Network Segmentation) قرار دهید، از مجازیسازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها استفاده کنید و فایلهای خارجی را در محیطهای سندباکس اجرا نمایید.
- اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیبپذیریها بررسی کنید و تستهای نفوذ روی سناریوهای خواندن خارج از محدوده انجام دهید.
- آموزش: کاربران و مدیران را در مورد ریسکهای فایلهای خارجی، اهمیت بهروزرسانیهای امنیتی و تشخیص تلاشهای فریب برای مونت کردن فایلهای مخرب آموزش دهید.
اجرای این اقدامات، ریسک افشای اطلاعات و حملات لوکال را به حداقل میرساند و امنیت سیستمهای ویندوز را در برابر تهدیدات مرتبط با NTFS تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access — TA0001
بردارِ تحویل، فایل ایمیج مجازی (VHD/VHDX) مخرب است که از طریق ایمیل، دانلود یا اشتراک فایل بهقربانی میرسد؛ کاربر یا سرویس آن را mount میکند و مسیر پارسینگ NTFS در کرنل فعال میشود.
Persistence — TA0003
اگر افشای داده هویتها یا توکنها را فراهم کند، مهاجم ممکن است از آن برای ایجاد persistence استفاده کند بدهد.
Defense Evasion — TA0005
مهاجم میتواند از نامگذاری غیرمعمول در VHD/ADS یا ارسال VHD در قالبهایی که sandboxes ساده را دور میزنند استفاده کند؛ همچنین ممکن است لاگها را پاک یا crash تولید کند تا ردپا مخفی بماند.
Credential Access — TA0006
OOB-read میتواند بخشهایی از حافظه هیپ حاوی دادههای حساس یا fragmentهای credential را لو دهد که امکان استخراج token/hash را فراهم کند.
Discovery — TA0007
پس از افشای داده یا دستیابی به host، مهاجم فعالیتهایی مثل لیستکردن volumes, mountpoints, shares و MFT را انجام میدهد تا بردارهای بعدی را شناسایی کند.
Lateral Movement — TA0008
اگر از داده افشا شده برای credential reuse یا اجرای کد محلی استفاده شود، مهاجم میتواند از SMB/RDP/PSExec برای حرکت جانبی بهره ببرد.
Collection — TA0009
مهاجم میتواند دادههای حساس در حافظه را خوانده و برای تحلیل محلی جمعآوری کند
Exfiltration — TA0010
داده افشا شده میتواند استخراج و از طریق کانالهای رمزنگاری یا covert channel خارج شود
Impact — TA0040
پیامد اصلی افشای اطلاعات محرمانه (Confidentiality impact) است؛ بسته به محتوای افشا، پیامدها میتواند شامل credential theft، اطلاعات حساس سیستمی یا راه برای حملات بعدی باشد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-24991
- https://www.cvedetails.com/cve/CVE-2025-24991/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24991
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24991
- https://vuldb.com/?id.299362
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-24991
- https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2025-patch-tuesday-fixes-7-zero-days-57-flaws/
- https://nvd.nist.gov/vuln/detail/CVE-2025-24991
- https://cwe.mitre.org/data/definitions/125.html
