CVE-2025-29824

چکیده

آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) در کامپوننت درایور کرنل Common Log File System(CLFS) ویندوز شناسایی شده است. این آسیب پذیری به مهاجم لوکال دارای حساب احراز هویت‌شده اجازه می‌دهد تا سطح دسترسی خود را تا SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-29824 یک ضعف از نوع استفاده پس از آزادسازی مطابق با CWE-416 در کامپوننت درایور کرنل CLFS (سیستم فایل لاگ مشترک ویندوز) است.

مهاجم لوکال دارای حساب کاربری احراز هویت شده می‌تواند با ایجاد شرایط استفاده پس از آزادسازی، کنترل جریان اجرا را به‌دست آورده و کد دلخواه را در سطح کرنل اجرا کند. نتیجه نهایی، افزایش سطح دسترسی تا SYSTEM است که امکان کنترل کامل سیستم، نصب بدافزار پایدار، دور زدن مکانیزم‌های امنیتی و دسترسی به داده‌های حساس را فراهم می‌کند. به زبان ساده کرنل شیئی/بافر مرتبط با ساختارهای لاگِ CLFS را آزاد (free) می‌کند اما بعداً دوباره همان اشاره‌گر/آدرس را استفاده (use) می‌نماید؛ اگر مهاجم بتواند در بازه بین free و use حافظه را «بازنویسی» کند یا محتوای قابل‌پیش‌بینی قرار دهد، کنترل جریان اجرا (control flow) در سطح کرنل می‌تواند منحرف شود و در نتیجه اجرای کد دلخواه در سطح کرنل رخ دهد.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، به‌صورت لوکال، بدون تعامل کاربر و تنها با داشتن یک حساب کاربری استاندارد، اشاره‌گرهای حافظه CLFS را دستکاری کند و سطح دسترسی SYSTEM را به‌دست آورد.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی ، یکپارچگی و در دسترس‌پذیری است. به این معنا که مهاجم می‌تواند داده‌های حساس را سرقت کند، تنظیمات سیستم را تغییر دهد یا باعث اختلال در عملکرد سیستم شود. این آسیب‌پذیری در فهرست KEV آژانس CISA ثبت شده و اکسپلویت فعال آن تأیید شده است.

نمونه‌هایی از کدِ اثباتِ مفهومی (PoC) به‌صورت عمومی منتشر شده‌اند؛ این منابع شامل اسکریپت‌های پاورشل برای شناسایی و کاهش موقت (mitigation) وضعیت درایور و همچنین مخازن یا فایل‌هایی است که قطعات اکسپلویت یا پیاده‌سازی‌های کامل برای افزایش سطح دسترسی را در بر می‌گیرند. این ضعف در نسخه‌های مختلف ویندوز از Windows 10 نسخه 1507 تا Windows 11 نسخه 24H2 و سرورهای مربوطه وجود دارد و توسط مایکروسافت در به‌روزرسانی امنیتی آوریل 2025 پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در درایور CLFS، امکان افزایش سطح دسترسی لوکال تا سطح SYSTEM را فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوزی را با پچ های امنیتی آوریل 2025 (KBهای مربوطه) به‌روزرسانی کنید.
• نظارت بر لاگ‌ها: لاگ‌های مرتبط با بارگذاری درایور و خطاهای کرنل (Service Control Manager events — Event ID 7045، WER/kernel crash — Event ID 1001) و ایجاد فایل‌های غیرمعمول مانند .blf در C:\ProgramData را برای نشانه‌های دسترسی یا فعالیت مشکوک CLFS مانیتور کنید
• استفاده از EDR: راهکارهای تشخیص و پاسخ اندپوینت (Endpoint Detection and Response) را برای شناسایی عملکردهای مشکوک حافظه درایور فعال کنید.
• محدودسازی دسترسی لوکال: سیاست‌های حداقل دسترسی (Least Privilege) را اعمال کرده و حساب‌های غیر ضروری را از گروه لوکال Administrators حذف کنید.
• تست امنیتی: سیستم‌ها را با ابزارهایی مانند Microsoft Attack Surface Analyzer یا اکسپلویت‌های PoC موجود اسکن کنید.
• کاهش ریسک موقت (Mitigation): در صورت عدم امکان پچ فوری، اسکریپت‌های کاهش موقت Vicarius را اجرا کنید که درایور CLFS را غیرفعال می‌کند (نیاز به راه اندازی مجدد دارد).
• آموزش کاربران: کاربران را درباره ریسک اجرای فایل‌های ناشناس و اهمیت به‌روزرسانی آگاه سازید.

اجرای سریع به‌روزرسانی و نظارت مستمر، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت سیستم‌های ویندوزی را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم محلیِ دارای حساب کاربری احرازشده با ایجاد یا القای عملیات روی API های CLFS (نوشتن/خواندن رکوردها یا ایجاد فایل‌های لاگ) و بهره‌برداری از شرایط هم‌زمانی یا race، به محیطی دست می‌یابد که می‌تواند وضعیت حافظه مربوط به ساختارهای CLFS را به‌هم زده و مسیرهای بعدی اکسپلویت را فراهم کند.

Execution (TA0002)
ضعف Use‑After‑Free در CLFS می‌تواند منجر به اجرای کد در کرنل‌مود شود؛ مهاجم با جایگزینی محتوای ناحیه آزاد‌شده یا hijack کردن control flow می‌تواند RCE در سطح کرنل یا بارگذاری ماژول دلخواه را محقق کند

Credential Access (TA0006)
در صورت اجرای موفق کرنل‌مود، مهاجم می‌تواند credential های محلی و توکن‌های سیستم مثلاً secrets در حافظه یا service account credentialsرا استخراج یا خوانش کند

Discovery (TA0007)
مهاجم پس از نفوذ کرنل به سرعت پیکربندی‌ها، درایورها، سرویس‌ها و فایل‌های پیکربندی (به‌خصوص فایل‌ها/دایرکتوری‌های لاگ) را کاوش می‌کند تا مسیرهای بیشترِ نفوذ یا نقاط پایدارسازی را بیابد

Privilege Escalation (TA0004)
نقطه ضعف به‌طور مستقیم منجر به escalation تا SYSTEM می‌شود؛ مهاجم پس از اجرای کرنل‌مود می‌تواند دسترسی‌های سطح بالا ایجاد کند، حساب‌های ادمین بسازد یا مجوزها را تغییر دهد

Collection (TA0009)
حملات موفق احتمالاً داده‌های حساسِ محلی (فایل‌ها، لاگ‌ها، دیتابیس محلی) و اطلاعات سیستم را جمع‌آوری و برای استخراج آماده می‌کنند

Exfiltration (TA0010)
داده‌های گردآوری‌شده ممکن است از طریق کانال‌های خروجی HTTPs به دامنه‌های خارجی، DNS tunneling یا کانال‌های پنهان خارج شوند

Defense Evasion (TA0005)
مهاجم کرنل‌مود می‌تواند لاگ‌ها را تغییر دهد، persistence کرنل‌سطحی نصب کند یا رفتارهای حمله را مخفی‌سازی کند

Lateral Movement (TA0008)
با دسترسی SYSTEM مهاجم ممکن است بتواند به سرویس‌های شبکه‌ای، دیتابیس‌ها یا دیگر سرورهای متصل منتقل شود و دسترسی‌های بالاتر شبکه‌ای را کسب کند

Impact (TA0040)
پیامدها شامل تسلط کامل بر سیستم، نصب بدافزار پایدار، افشای داده‌های حساس و کاهش یا قطع سرویس‌های حیاتی است که محرمانگی، یکپارچگی و در دسترس‌پذیری را به‌شدت تحت‌تأثیر قرار می‌دهد

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-29824
2. https://www.cvedetails.com/cve/CVE-2025-29824/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-29824
5. https://vuldb.com/?id.304030
6. https://www.vicarius.io/vsociety/posts/cve-2025-29824-windows-common-log-file-system-driver-elevation-of-privilege-vulnerability-mitigation-script
7. https://www.vicarius.io/vsociety/posts/cve-2025-29824-windows-common-log-file-system-driver-elevation-of-privilege-vulnerability-detection-script
8. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-29824
9. https://github.com/HaittaNeo/failcall
10. https://github.com/AfanPan/CVE-2025-29824-Exploit
11. https://nvd.nist.gov/vuln/detail/CVE-2025-29824
12. https://cwe.mitre.org/data/definitions/416.html