CVE-2025-26633

چکیده

آسیب‌پذیری خنثی‌سازی نادرست ورودی ها در کنسول مدیریت مایکروسافت (MMC) به مهاجمان غیرمجاز اجازه می‌دهد با بهره‌برداری لوکال و تعامل کاربر، برخی از ویژگی های امنیتی را دور بزنند و کنترل کامل سیستم را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-26633 در کنسول مدیریت مایکروسافت (MMC، ابزاری گرافیکی برای مدیریت تنظیمات سیستم‌عامل ویندوز) روی نسخه‌های مختلف ویندوز شناسایی شده است. این ضعف ناشی از خنثی‌سازی نادرست ورودی‌ها بوده و مطابق با CWE-707 طبقه‌بندی می‌شود. به عبارت دیگر، مهاجم بدون احراز هویت می‌تواند با ارسال فایل مخرب طراحی‌شده، مکانیزم‌های امنیتی MMC را دور بزند.

بهره‌برداری معمولاً به‌صورت لوکال و با تعامل کاربر انجام می‌شود؛ مهاجم با ارسال فایل ویژه (مثلاً از طریق ایمیل، پیام‌رسان یا وب‌سایت) کاربر را فریب می‌دهد تا فایل را باز کند و سپس می تواند ویژگی های امنیتی دور بزند. موفقیت حمله ممکن است نیازمند اقدامات آماده‌سازی در محیط هدف (مثل تغییر تنظیمات UAC یا سیاست‌های گروهی) و دانش فنی باشد.

کد اثباتِ مفهومی (PoC) عمومی منتشر شده و نشان می‌دهد که با باز کردن یک فایل یا اجرای اسکریپت مخرب، MMC می‌تواند ویژگی های امنیتی را دور بزند و مهاجم به بخش‌های محدود سیستم دسترسی پیدا کند. این ضعف در فهرست KEV آژانس CISA ثبت شده و اکسپلویت فعال نیز گزارش شده است. گزارش‌ها نشان می‌دهد هیچ سناریوی وب‌بیسِ بدون تعامل کاربر (web‑based, no‑interaction) تأیید نشده است و بهره‌برداری فعلی مستلزم تعامل کاربر (باز کردن فایل) و آماده‌سازی محیط است؛ با این حال وجود PoC عمومی و گزارش اکسپلویت فعال، اولویت پچ و تدابیر حفاظتی را بالا می‌برد.

پیامدهای این آسیب‌پذیری شامل نقض محرمانگی با افشای داده‌های حساس، یکپارچگی با تغییر تنظیمات سیستمی و در دسترس‌پذیری با امکان اجرای کد دلخواه است. محصولات آسیب‌پذیر شامل نسخه‌های مختلف ویندوز از Windows Server 2008 Service Pack 2 تا Windows Server 2025 هستند. مایکروسافت در به‌روزرسانی‌های امنیتی مارس 2025 این ضعف را پچ کرده و اکیداً توصیه می‌کند فوراً پچ‌ها اعمال شوند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت بالا در کنسول مدیریت مایکروسافت (MMC)، از طریق خنثی‌سازی نادرست ورودی ها امکان دور زدن ویژگی امنیتی و دستیابی به دسترسی کامل را فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را از طریق Windows Update یا پورتال مایکروسافت با پچ های مارس 2025 به‌روزرسانی کنید.
• حذف وابستگی به فایل‌های قدیمی: فایل‌های MMC مخرب را با استفاده از Windows Defender یا ابزارهای آنتی‌ویروس اسکن و حذف کنید و از باز کردن فایل‌های ناشناخته جلوگیری نمایید.
• راهکارهای کاهش ریسک (Mitigations): محدودیت‌های MMC Snap-in را از طریق Group Policy اعمال کنید، UAC را فعال نگه دارید و از اسکریپت‌های تشخیص یا کاهش Vicarius یا PowerShell برای بررسی پیکربندی استفاده کنید.
• محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای کاربران اعمال کنید، احراز هویت دو مرحله‌ای (2FA) را فعال کرده و دسترسی به MMC را با AppLocker یا Windows Defender Application Control محدود کنید. برای سرورها، از فهرست سفیدIP و VPN استفاده نمایید.
• نظارت بر لاگ‌ها: لاگ‌های MMC و سیستم را با ابزارهایی مانند Event Viewer یا Splunk مانیتور کرده و از سیستم‌های SIEM برای شناسایی تلاش‌های بهره‌برداری از فایل‌های مخرب استفاده کنید.
• ایزوله‌سازی محیط: سیستم‌های حساس را در شبکه‌های جداگانه (Network Segmentation) قرار دهید، از مجازی‌سازی مانند Hyper-V با Enhanced Session Mode برای ایزوله کردن فرآیندها استفاده کنید و MMC را در محیط‌های سندباکس اجرا نمایید.
• اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Microsoft Defender یا Nessus برای اسکن آسیب‌پذیری‌ها بررسی کنید و تست‌های نفوذ روی سناریوهای دور زدن ویژگی امنیتی انجام دهید.
• آموزش: کاربران و مدیران را در مورد ریسک‌های فایل‌های مخرب، اهمیت به‌روزرسانی‌های امنیتی و تشخیص تلاش‌های فیشینگ آموزش دهید.

اجرای این اقدامات، ریسک دور زدن ویژگی امنیتی و حملات لوکال را به حداقل می‌رساند و امنیت سیستم‌های ویندوز را در برابر تهدیدات مرتبط با MMC تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری CVE-2025-26633 در MMC ویندوز می‌تواند از طریق ارسال فایل مخرب و فریب کاربر برای باز کردن آن، مهاجم را به محیط سیستم وارد کند.

Execution (TA0002)
با باز کردن فایل مخرب، مهاجم می‌تواند کد دلخواه خود را در سیستم اجرا کند

Persistence (TA0003)
در این آسیب‌پذیری، مهاجم می‌تواند با دسترسی لوکال از طریق فایل مخرب به طور موقت یا دائمی قابلیت دور زدن امنیتی را حفظ کند.

Privilege Escalation (TA0004)
اگر مهاجم موفق به بهره‌برداری شود، امکان افزایش سطح دسترسی وجود دارد.

Defense Evasion (TA0005)
استفاده از فایل‌های مخرب و بهره‌برداری از MMC باعث دور زدن مکانیسم‌های امنیتی می‌شود.

Discovery (TA0007)
بهره‌برداری از MMC به مهاجم اجازه می‌دهد اطلاعات محیط و تنظیمات سیستم را بررسی کند.

Lateral Movement (TA0008)
این آسیب‌پذیری ذاتاً قابلیت حرکت افقی ندارد اما در صورت دسترسی موفق، مهاجم می‌تواند با محدودیت‌های کمتر در شبکه داخلی اقدام به گسترش کند.

Collection (TA0009)
بهره‌برداری مستقیم از آسیب‌پذیری برای جمع‌آوری داده‌ها گزارش نشده است اما دسترسی به MMC می‌تواند امکان مشاهده تنظیمات حساس را بدهد. محدودسازی دسترسی و مانیتورینگ فعالیت‌ها ضروری است.

Impact (TA0040)
پیامدهای فنی شامل دور زدن ویژگی‌های امنیتی، کاهش یکپارچگی سیستم، دسترسی لوکال غیرمجاز و امکان اجرای کد دلخواه است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-26633
2. https://www.cvedetails.com/cve/CVE-2025-26633/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26633
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26633
5. https://vuldb.com/?id.299376
6. https://www.vicarius.io/vsociety/posts/cve-2025-26633-security-feature-bypass-in-microsoft-management-console-detection-script
7. https://www.vicarius.io/vsociety/posts/cve-2025-26633-security-feature-bypass-in-microsoft-management-console-mitigation-script
8. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-26633
9. https://nvd.nist.gov/vuln/detail/CVE-2025-26633
10. https://cwe.mitre.org/data/definitions/707.html