- شناسه CVE-2025-24993 :CVE
- CWE-122 :CWE
- yes :Advisory
- منتشر شده: مارس 11, 2025
- به روز شده: می 19, 2025
- امتیاز: 7.8
- نوع حمله: Heap-based buffer overflow
- اثر گذاری: Remote code execution(RCE)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری سرریز بافر مبتنی بر هیپ (Heap-based buffer overflow) در NTFS ویندوز که به صورت پیشفرض در سیستمعاملهای پشتیبانیشده ویندوز فعال است، به مهاجمان بدون نیاز به احراز هویت اجازه میدهد با بهرهبرداری لوکال، کد دلخواه را از راه دور(RCE) اجرا کنند.
توضیحات
آسیبپذیری CVE-2025-24993 در NTFS (New Technology File System، سیستم فایل پیشفرض ویندوز برای مدیریت دادهها روی دیسک)، ناشی از سرریز بافر مبتنی بر هیپ است و مطابق با CWE-122 طبقهبندی میشود. به عبارت دیگر، مهاجم بدون نیاز به احراز هویت میتواند با ارسال ورودیهای مخرب به سیستم فایل، هیپ را تخریب کرده و کد دلخواه را از راه دور اجرا کند.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با استفاده از اسکریپتهای C/C++ یا ابزارهای اکسپلویت فایل سیستم، بهصورت لوکال و با تعامل کاربر، دادههای مخرب را به NTFS ارسال کند. این تعامل معمولاً شامل فریب کاربر برای مونت کردن (Mounting) یک VHD (Virtual Hard Disk) به صورت مخصوص ساختهشده است؛ به این معنا که کاربر فایل ایمیج را به سیستم متصل میکند تا سیستم عامل بتواند آن را بخواند و در نتیجه سرریز بافر فعال شده و کد دلخواه اجرا می شود.
برای این آسیبپذیری اکسپلویت فعال (Exploitation Detected) گزارش شده و CISA این ضعف را در فهرست (KEV) ثبت کرده است. پیامدهای آن شامل نقض محرمانگی با افشای دادههای حساس سیستم، یکپارچگی با تغییر ساختارهای سیستمی و در دسترسپذیری با امکان خرابی سیستم از طریق اجرای کد دلخواه است. محصولات آسیبپذیر شامل نسخههای مختلف ویندوز از Windows Server 2008 تا Windows 11 Version 24H2 هستند. مایکروسافت در بهروزرسانی مارس 2025 پچ امنیتی را منتشر کرده و هشدار داده است که سیستمهای بدون پچ در معرض بهرهبرداری لوکال قرار دارند؛ بنابراین اعمال پچهای رسمی یا کاهش ریسک از طریق محدودسازی تعاملات فایل ضروری است.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.17763.0 before 10.0.17763.7009 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| affected from 10.0.17763.0 before 10.0.17763.7009 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.7009 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.3328 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.19044.0 before 10.0.19044.5608 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| affected from 10.0.22621.0 before 10.0.22621.5039 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| affected from 10.0.19045.0 before 10.0.19045.5608 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| affected from 10.0.26100.0 before 10.0.26100.3476 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.22631.0 before 10.0.22631.5039 | ARM64-based Systems | Windows 11 version 22H3 |
| affected from 10.0.22631.0 before 10.0.22631.5039 | x64-based Systems | Windows 11 Version 23H2 |
| affected from 10.0.25398.0 before 10.0.25398.1486 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.3476 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26100.0 before 10.0.26100.3476 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.10240.0 before 10.0.10240.20947 | 32-bit Systems, x64-based Systems | Windows 10 Version 1507 |
| affected from 10.0.14393.0 before 10.0.14393.7876 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| affected from 10.0.14393.0 before 10.0.14393.7876 | x64-based Systems | Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.7876 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23168 | 32-bit Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.0.6003.0 before 6.0.6003.23168 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23168 | x64-based Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.1.7601.0 before 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| affected from 6.1.7601.0 before 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| affected from 6.2.9200.0 before 6.2.9200.25368 | x64-based Systems | Windows Server 2012 |
| affected from 6.2.9200.0 before 6.2.9200.25368 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.17763.7009 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| 10.0.17763.7009 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.7009 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.3328 | x64-based Systems | Windows Server 2022 |
| 10.0.19044.5608 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| 10.0.22621.5039 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| 10.0.19045.5608 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| 10.0.26100.3476 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.22631.5039 | ARM64-based Systems | Windows 11 version 22H3 |
| 10.0.22631.5039 | x64-based Systems | Windows 11 Version 23H2 |
| 10.0.25398.1486 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.3476 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26100.3476 | x64-based Systems | Windows Server 2025 |
| 10.0.10240.20947 | 32-bit Systems, x64-based Systems | Windows 10 Version 1507 |
| 10.0.14393.7876 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| 10.0.14393.7876 | x64-based Systems | Windows Server 2016 |
| 10.0.14393.7876 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| 6.0.6003.23168 | 32-bit Systems | Windows Server 2008 Service Pack 2 |
| 6.0.6003.23168 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| 6.0.6003.23168 | x64-based Systems | Windows Server 2008 Service Pack 2 |
| 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| 6.1.7601.27618 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| 6.2.9200.25368 | x64-based Systems | Windows Server 2012 |
| 6.2.9200.25368 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.22470 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 307,000 | site:.ir “Microsoft” “Windows 10” | Microsoft Windows 10 |
| 188,000 | site:.ir “Microsoft” “Windows 11” | Microsoft Windows 11 |
| 76,300 | site:.ir “Microsoft” “Windows Server” | Microsoft Windows Server |
نتیجه گیری
این آسیبپذیری با شدت بالا در NTFS سیستمعاملهای ویندوز، از طریق سرریز بافر مبتنی بر هیپ امکان اجرای کد دلخواه لوکال را فراهم میکند و میتواند منجر به کنترل کامل سیستم شود. با توجه به انتشار پچ در بهروزرسانیهای مارس 2025 ، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: تمام سیستمهای ویندوز را از طریق Windows Update یا پورتال مایکروسافت به پچ های امنیتی مارس 2025 بهروزرسانی کنید تا آسیبپذیری رفع شود.
- حذف وابستگیهای غیرضروری: فایلهای VHD یا دیسکهای مجازی مشکوک را بررسی و حذف کنید، زیرا بهرهبرداری از طریق مونت کردن آنها رخ میدهد. از جایگزینهای امن مانند دیسکهای مجازی تأییدشده استفاده کنید.
- راهکارهای کاهش ریسک: (Mitigations) NTFS را با استفاده از ابزارهای مانند CHKDSK یا Disk Management اسکن کنید، از ابزارهایی مانند Sysinternals Autoruns برای شناسایی فرآیندهای مشکوک استفاده کنید و از سیاستهای گروهی (Group Policy) برای جلوگیری از مونت کردن فایلهای خارجی غیرضروری بهره ببرید.
- محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کنید، احراز هویت دو مرحلهای (2FA) را فعال کرده و دسترسی به سیستم فایل را با AppLocker یا Windows Defender Application Control محدود کنید. برای سرورها از IP Whitelisting و VPN استفاده نمایید.
- نظارت بر لاگها: لاگهای فایل سیستم و کرنل را با ابزارهایی مانند Event Viewer یا Splunk مانیتور کرده و از سیستمهای SIEM برای شناسایی تلاشهای بهرهبرداری از VHDهای مشکوک استفاده کنید.
- ایزولهسازی محیط: سیستمها را در شبکههای جداگانه (Network Segmentation) قرار دهید، از مجازیسازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها استفاده کنید و فایلهای خارجی را در محیطهای سندباکس اجرا نمایید.
- اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیبپذیریها بررسی کنید و تستهای نفوذ روی سناریوهای سرریز بافر انجام دهید.
- آموزش: کاربران و مدیران را در مورد ریسکهای فایلهای خارجی، اهمیت بهروزرسانیهای امنیتی و تشخیص تلاشهای فریب برای مونت کردن فایلهای مخرب آموزش دهید.
اجرای این اقدامات، ریسک اجرای کد دلخواه و حملات لوکال را به حداقل میرساند و امنیت سیستمهای ویندوز را در برابر تهدیدات مرتبط با NTFS تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
این ضعف معمولاً از طریق تحویل یک ایمیج/فایل VHD مخرب یا اشتراکگذاری فایلی که کاربر آن را mount میکند حاصل میشود — مهاجم قربانی را فریب میدهد تا VHD را mount کند یا آن را روی share قابلدسترسی قرار میدهد.
Execution (TA0002)
اکسپلویت با ارسال ساختار دادهای مخرب به NTFS طی فرایند mount موجب سرریز بافر روی هیپ و اجرای کد دلخواه در فضای کرنل میشود
Persistence (TA0003)
پس از موفقیت RCE، مهاجم میتواند ماژولها/درایورهای مخرب یا سرویسهایی ثبت کند تا دسترسی ماندگار بماند.
Defense Evasion (TA0005)
مهاجم میتواند از VHDهای craft شده برای عبور از sandboxing ساده یا استفاده از ADS و نامگذاری غیرمعمول برای پنهانسازی payload استفاده کند؛ همچنین ممکن است crash های گذرا تولید و لاگها را پاک کند.
Credential Access (TA0006)
پس از اجرای کد کرنل، مهاجم میتواند توکنها و hashها را استخراج کند
Discovery (TA0007)
مهاجم برای گسترش نفوذ، اِلِمانهای فایلسیستم، نقطههای mount، shareهای شبکه و موجودیتهای ذخیرهشده را شناسایی میکند.
Lateral Movement (TA0008)
با دسترسی SYSTEM مهاجم میتواند از SMB/RDP/PSExec برای حرکت جانبی استفاده کند یا payloadها را روی شبکه نشر دهد.
Collection (TA0009)
بعد از تسلط، مهاجم فایلهای حساس، دیتابیسها و کلیدها را جمعآوری میکند.
Exfiltration (TA0010)
مهاجم میتواند دادهها را از طریق کانالهای رمزگذاریشده یا covert tunnel خارج کند.
Impact (TA0040)
اجرای کد از راه دور در سطح کرنل و کنترل کامل سیستم (C/R/I high) از پیامدهای این آسیب پذیری هستند. علاوه بر این آسیب پذیری مذکور میتواند به نصب backdoor، تغییرات سیستمی، و گسترش حمله منجر شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-24993
- https://www.cvedetails.com/cve/CVE-2025-24993/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24993
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24993
- https://vuldb.com/?id.299364
- https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-windows-kernel-zero-day-exploited-since-2023/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-24993
- https://nvd.nist.gov/vuln/detail/CVE-2025-24993
- https://cwe.mitre.org/data/definitions/122.html
