CVE-2025-24999

چکیده

آسیب‌پذیری کنترل دسترسی نامناسب در Microsoft SQL Server شناسایی شده است. این ضعف به مهاجمان احراز هویت شده اجازه می‌دهد از راه دور سطح دسترسی خود را به sysadmin افزایش دهند و در نتیجه کنترل کامل سرور را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-24999 در Microsoft SQL Server (سیستم مدیریت پایگاه داده برای ذخیره و مدیریت داده‌ها) روی تمام پلتفرم‌های مبتنی بر x64 شناسایی شده است. این ضعف ناشی از کنترل دسترسی نامناسب است که مطابق با CWE-284 طبقه‌بندی می‌شود. به عبارت دیگر، مهاجم احراز هویت‌شده با مجوزهای اولیه می‌تواند با ورود (لاگین) به سرور SQL، سطح دسترسی خود را به sysadmin افزایش دهد.

مهاجم با یک حساب دارای امتیازات محدود وارد سامانه می‌شود و با اجرای کوئری‌های کشف (discovery) به‌سرعت به دنبال آبجکت‌ها و مجوزهای حادث‌ساز می‌گردد — برای مثال Stored Procedureهایی که تحت کانتکستِ سطح بالاتر اجرا می‌شوند (EXECUTE AS/OWNER)، مجوزهای IMPERSONATE یا ALTER ANY LOGIN، و SQL Agent job‌ها یا proxy‌ هایی که امکان اجرای دستورات سیستمی را فراهم می‌کنند. در صورتی که چنین بردارهایی موجود باشند، مهاجم می‌تواند با فراخوانی آن پروسجرها یا اعمال نفوذ موقت (impersonation) عملیاتی را با امتیاز بالاتر انجام دهد و در ادامه با دستوری نظیر ALTER SERVER ROLE [sysadmin] ADD MEMBER [attacker_login] یا معادل آن، حساب خود را به نقش sysadmin ارتقا دهد؛ این فرآیند عموماً به‌صورت از راه دور و بدون نیاز به آسیب‌پذیری سطح کرنل انجام‌پذیر است و ناشی از پیکربندی نامناسب مجوزها و مالکیت آبجکت‌ها است.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهای خودکار مانند اسکریپت‌های SQL یا فریم‌ورک‌های اکسپلویت پایگاه داده، به‌صورت از راه دور، بدون تعامل کاربر و با داشتن دسترسی پایین، از مکانیزم‌های دسترسی نامناسب بهره‌برداری کرده و سطح دسترسی را افزایش دهد. برای مثال، مهاجم می‌تواند با اجرای کوئری‌های خاص SQL، مجوزهای sysadmin را به‌دست آورد و سپس به داده‌های حساس دسترسی پیدا کرده یا تغییرات مخرب اعمال نماید.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با افشای داده‌های پایگاه داده، یکپارچگی با تغییر یا حذف داده‌ها و در دسترس‌پذیری با اختلال در سرویس از طریق اجرای کد دلخواه است. محصولات آسیب‌پذیر شامل نسخه‌های Microsoft SQL Server 2016 SP3، 2017، 2019 و 2022 پیش از نسخه‌های پچ‌شده هستند.

مایکروسافت پچ‌های امنیتی را در به‌روزرسانی‌های GDR (General Distribution Release، شامل فقط به‌روزرسانی‌های امنیتی) و CU (Cumulative Update، شامل به‌روزرسانی‌های عملکردی و امنیتی) منتشر کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft SQL Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Microsoft SQL Server، امکان کنترل دسترسی نامناسب و افزایش سطح دسترسی به sysadmin را فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: SQL Server را از طریق Microsoft Update یا پورتال مایکروسافت به نسخه‌های پچ‌شده به‌روزرسانی کنید؛ به‌عنوان مثال KB5063814 برای SQL Server 2022 CU20 یا KB5063757 برای SQL Server 2019 CU32. ابتدا نسخه SQL خود را با KB321185 بررسی کنید و تصمیم بگیرید که از GDR (فقط به‌روزرسانی‌های امنیتی) یا CU (به‌روزرسانی کامل شامل امنیت و عملکرد) استفاده کنید. نمونه‌های Azure IaaS را می‌توان به‌صورت دستی به‌روزرسانی کرد.
• راهکارهای کاهش ریسک (Mitigations): دسترسی‌ کاربران را با اصل حداقل دسترسی (Least Privilege) محدود کنید، از لیست سفید مجوزهای SQL (SQL Permissions Whitelisting) استفاده نمایید و ورودی‌های کوئری را با ابزارهایی مانند SQL Server Audit اعتبارسنجی کنید. همچنین، از اجرای کوئری‌های پویا (Dynamic SQL) اجتناب کنید.
• محدودسازی دسترسی: احراز هویت دو مرحله‌ای (2FA) را برای کاربران SQL فعال کنید، دسترسی به سرور را با RBAC مدیریت نمایید و اتصالات را با لیست سفید IP (IP Whitelisting) یا VPN محدود کنید.
• نظارت بر لاگ‌ها: لاگ‌های SQL Server و تلاش‌های افزایش دسترسی را با ابزارهایی مانند SQL Server Profiler یا Splunk مانیتور کنید و از سیستم‌های SIEM برای شناسایی الگوهای مشکوک کوئری استفاده نمایید.
• ایزوله‌سازی محیط: SQL Server را در شبکه‌های جداگانه (Network Segmentation) قرار دهید و از پروکسی معکوس مانند NGINX با mod_security (ماژول امنیتی برای فیلتر درخواست‌های مخرب) برای فیلتر ترافیک ورودی بهره ببرید. همچنین، از Always Encrypted برای حفاظت از داده‌های حساس استفاده کنید.
• اسکن و تست امنیتی: پایگاه داده را با ابزارهایی مانند SQL Vulnerability Assessment یا Nessus برای اسکن آسیب‌پذیری‌ها بررسی کنید و تست‌های نفوذ روی سناریوهای افزایش دسترسی انجام دهید.
• آموزش: مدیران پایگاه داده و کاربران را در مورد ریسک‌های کنترل دسترسی نامناسب، به‌روزرسانی‌های CU/GDR و تشخیص افزایش سطح دسترسی آموزش دهید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی و حملات پایگاه داده را به حداقل می‌رساند و امنیت محیط‌های Microsoft SQL Server را در برابر تهدیدات تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم معمولاً با یک حساب احراز هویت‌شده کم‌امتیاز (مثلاً حساب اپلیکیشن یا کاربر دیتابیس) به سرور SQL وارد می‌شود

Execution (TA0002)
پس از ورود، مهاجم ممکن است با فراخوانی Stored Procedure های مجاز، اجرای دستورات تحت کانتکست بالاتر (EXECUTE AS/OWNER) یا استفاده از SQL Agent jobs و proxyها عملیات مدیریتی یا فرمان‌های سیستمی را اجرا کند

Credential Access (TA0006)
با کنترل نسبی سرور یا اجرای پروسجرهای با امتیاز بالا مهاجم می‌تواند توکن‌ها، credentialهای درون دیتابیس مانند connection strings یا secret های ذخیره‌شده و اطلاعات حساب‌های سرویس را استخراج کند

Discovery (TA0007)
مهاجم فهرست نقش‌ها، لاگین‌ها، owner آبجکت‌ها، پروسجرهای دارای EXECUTE AS و SQL Agent jobs را جمع‌آوری می‌کند تا بردارهای صعود امتیاز را بیابد

Privilege Escalation (TA0004)
این تاکتیک هسته‌ای حمله است: سوء‌پیکربندی مجوزها مثل IMPERSONATE، ALTER ANY LOGIN، پروسجرهای اجراشونده تحت کانتکست بالاتر یا امکان ساخت/تغییر SQL Agent job به مهاجم اجازه می‌دهد با یک یا چند دستور ساده خود را به نقش sysadmin ارتقا دهد

Collection (TA0009)
پس از ارتقای مجوز، مهاجم می‌تواند اطلاعات حساس دیتابیس، اسنیپت‌های config، backup ها و داده‌های ذخیره‌شده را خوانده و ذخیره کند

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده می‌توانند از طریق کانال‌های شبکه‌ای مجاز، ایجاد فایل‌های خروجی در مسیرهای قابل دسترسی یا با استفاده از SQL Agent jobs/linked servers خارج شوند

Defense Evasion (TA0005)
مهاجم می‌تواند با ایجاد لاگین‌های نامعمول، پاک‌سازی یا تغییر لاگ‌ها، ایجاد job های پنهان و استفاده از پروسجرهای قانونی ردپا را محو کند

Lateral Movement (TA0008)
با دسترسی sysadmin مهاجم ممکن است credential های مدیر را بدست آورد و از آنها برای اتصال به سرورهای دیگر، استفاده از linked servers یا اجرای اسکریپت‌های توزیع‌شده جهت گسترش دسترسی استفاده کند

Impact (TA0040)
پیامدهای فنی شامل افشای گسترده داده‌ها (confidentiality), تغییر یا حذف داده‌ها (integrity) و از دسترس خارج شدن سرویس‌ها یا اجرای کد دلخواه روی سرورها (availability/remote code execution) است؛ در محیط‌های حساس این می‌تواند منجر به کنترل کامل دیتابیس‌ها و persistence بلندمدت شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-24999
2. https://www.cvedetails.com/cve/CVE-2025-24999/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24999
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24999
5. https://vuldb.com/?id.319585
6. https://nvd.nist.gov/vuln/detail/CVE-2025-24999
7. https://cwe.mitre.org/data/definitions/284.html