CVE-2025-30397

چکیده

آسیب‌پذیری اشتباه یا ناسازگاری نوع داده (Type Confusion) در کامپوننت Microsoft Scripting Engine شناسایی شده است. این ضعف به مهاجم بدون احراز هویت اجازه می‌دهد با فریب کاربر برای کلیک روی URL مخرب، کد دلخواه را از راه دور اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-30397 ناشی از اشتباه یا ناسازگاری نوع داده مطابق با CWE-843 در کامپوننت Microsoft Scripting Engine شناسایی شده است. این کامپوننت مسئول اجرای کدهای JScript و VBScript در مرورگرها و برنامه‌های ویندوز است.

این ضعف امکان سوءاستفاده از راه دور و بدون نیاز به دسترسی اولیه را فراهم می‌کند. مهاجم می‌تواند با فریب کاربر برای باز کردن یک لینک مخرب (Specially Crafted URL) و بارگذاری صفحه وب در حالت IE Mode مرورگر Edge، خرابی حافظه در فایل jscript.dll ایجاد کرده و کنترل جریان برنامه را به دست آورد. بهره‌برداری موفق می‌تواند منجر به اجرای کد دلخواه، نصب بدافزار یا تسلط کامل بر سیستم شود و محرمانگی، یکپارچگی و دسترس‌پذیری سیستم را تهدید کند.

این آسیب‌پذیری در شبکه قابل بهره‌برداری است، اما برای موفقیت، کاربر باید روی یک لینک مخرب کلیک کند و مهاجم سیستم هدف را با پیچیدگی فنی نسبتاً بالا آماده کند. به عبارت دیگر، مهاجم ابتدا باید اطمینان یابد که سیستم هدف از حالت Internet Explorer در Edge استفاده می‌کند.

برای این آسیب‌پذیری کد اثبات مفهومی (PoC) عمومی منتشر شده و ابزارهای تشخیص و کاهش آن ارائه شده است. همچنین این آسیب‌پذیری در فهرست KEV آژانس CISA ثبت شده و اکسپلویت فعال آن تأیید شده است. این آسیب‌پذیری در به‌روزرسانی امنیتی می 2025 (Patch Tuesday) رفع شده و پچ رسمی برای تمام نسخه‌های پشتیبانی‌شده ویندوز منتشر شده است. برای محافظت کامل، توصیه می‌شود به‌روزرسانی‌های تجمعی Internet Explorer را نیز نصب کنید؛ زیرا پلتفرم‌های MSHTML و Scripting Engine که در حالت IE Mode استفاده می‌شوند همچنان پشتیبانی می‌شوند و تنها نصب به‌روزرسانی‌های Security-Only کافی نیست.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که محصولات Microsoft شامل Windows 10، Windows 11 و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در کامپوننت Microsoft Scripting Engine امکان اجرای کد از راه دور را از طریق فریب کاربر فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر الزامی است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوزی را بلافاصله با به‌روزرسانی می 2025 (KBهای مربوطه) پچ کنید. پچ‌ها برای تمامی نسخه‌های پشتیبانی‌شده ویندوز منتشر شده‌اند؛ نصب آن‌ها اولویت اول است.
• غیرفعال‌سازی حالت Internet Explorer در مرورگر Edge (IE Mode): تا زمان اعمال پچ، حالت Internet Explorer (IE) در Microsoft Edge را غیرفعال کنید و از طریق سیاست‌های گروهی (Group Policy) از بارگذاری سایت‌های ناشناس یا پیکربندی نشده در IE Mode جلوگیری نمایید.
• محدودسازی اجرای اسکریپت ها: اجرای JScript را در محیط‌های غیرضروری غیرفعال کنید؛ در صورت عدم امکان پَچ فوری، از اسکریپت‌های کاهش (Mitigation Script) معتبر (مثلاً تنظیمات رجیستری پیشنهادی) برای جلوگیری از بازشدن خودکار فایل‌های MHT/MHTML در IE Mode استفاده کنید.
• مانیتورینگ و شناسایی و هشداردهی: لاگ‌های مرورگر و فرآیندها را با ابزارهای پاسخ‌دهی به تهدیدات اندپوینت (EDR) و سامانه‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) نظارت کنید. برای الگوهای مشکوک مانند اجرای ناگهانی exe یا فرآیندهای فرزندِ ناشناس از iexplore.exe/Edge مکانیزم هشداردهی تنظیم کنید. از اسکریپت‌های تشخیص (Detection Script) رسمی برای ارزیابی سطح ریسک در شبکه استفاده نمایید.
• سخت‌سازی اجرای برنامه: پیاده‌سازی سیاست‌های کنترل اجرای برنامه مبتنی بر امضا یا فهرست سفید (whitelist) باعث می‌شود تنها باینری‌ها و اسکریپت‌های معتبر و مورد تأیید سازمان توانایی اجرا روی ایستگاه‌های کاری و سرورها را داشته باشند.
• تست نفوذ: با ابزارهایی مانند Metasploit یا PoCهای عمومی، محیط را برای شناسایی ضعف تست کنید و سیاست‌های ایمن سازی (Hardening) مانند غیرفعال‌سازی WebBrowser Control در برنامه‌های legacy اعمال نمایید.
• آموزش کاربران: کاربران را در مورد ریسک کلیک روی لینک‌های ناشناخته آگاه کنید؛ از فیلترهای وب و ایمیل برای مسدودسازی URLهای مخرب استفاده نمایید

اجرای این اقدامات، ریسک اشتباه یا ناسازگاری نوع داده (Type Confusion) را کاهش داده و امنیت سیستم‌های ویندوزی حفظ خواهد کرد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
حمله عموماً از طریق فیشینگ یا باز کردن URL مخرب در IE Mode مرورگر Edge اتفاق می‌افتد؛ مهاجم با مهندسی اجتماعی کاربر را وادار می‌کند صفحه crafted را باز کند که payload حافظه را در jscript.dll تحریک می‌کند.

Execution (TA0002)
ضعف نوع-اختلاط (type confusion) در Microsoft Scripting Engine منجر به corruption در حافظه و امکان اجرای کد دلخواه در کانتکست پردازش مرورگر می‌شود؛ اجرای موفق می‌تواند پروسه‌های فرزند را spawn کند یا payload را در محیط کاربر اجرا نماید.

Persistence (TA0003)
پس از اجرای کد، مهاجم می‌تواند مکانیزم‌های persistence محلی مثلاً سرویس، scheduled task، یا قرار دادن باینری در مسیرهای استارت‌آپ ایجاد کند تا دسترسی بلندمدت تثبیت شود.

Privilege Escalation (TA0004)
اجرای کد در سطح کاربر می‌تواند ترکیب شود با آسیب‌پذیری‌های محلی یا سوء‌پیکربندی‌ها تا امتیازات به SYSTEM افزایش یابد

Defense Evasion (TA0005)
مهاجم می‌تواند اجرای payload را با obfuscation، حذف لاگ یا اجرای درون حافظه انجام دهد تا EDR و SIEM ساده را دور بزند.

Credential Access (TA0006)
با اجرا در زمینه کاربر، مهاجم می‌تواند credential های محلی را از فایل‌های پیکربندی، کش مرورگر یا حافظه استخراج کند و با استفاده از آن‌ها lateral movement یا دسترسی بیشتر را تسهیل نماید. اجرای کد در کانتکست کاربر یا دسترسی به fs/memory نیاز است.

Discovery (TA0007)
پس از نفوذ، اسکریپت‌ها یا payload ها می‌توانند اطلاعات محیطی (فایل‌های پیکربندی، نسخه نرم‌افزارها، فهرست سرویس‌ها) را برداشت و نقاط ضعف دیگر را شناسایی کنند. اجرا شدن کد یا اسکریپت با دسترسی I/O نیاز است.

Lateral Movement (TA0008)
اگر سیستم آلوده به منابع شبکه‌ای یا مجوزهای بیشتر دسترسی داشته باشد، مهاجم می‌تواند با استفاده از credentialهای سرقت‌شده یا اسکریپت‌هایی که از jobها/سرویس‌ها سو استفاده می‌کنند به سرورهای دیگر حرکت کند.

Collection (TA0009)
مهاجم می‌تواند با اجرای موفق و دریافت سطح دسترسی لازم داده‌های حساس فایل‌های محلی، cache مرورگر، دیتاست‌های موقت را جمع‌آوری و برای آماده‌سازی exfiltration بسته‌بندی کند.

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده می‌توانند از طریق کانال‌های خروجی معمول (HTTPS, S3, FTP) یا از طریق روش‌های covert (DNS tunneling) به بیرون منتقل شوند. اگر payload بتونه فایل‌ها یا حافظه رو بخونه و کانال خروجی داشته باشد

Impact (TA0040)
اثرات عملی شامل اجرای کد و نصب بدافزار، افشای اطلاعات کاربر یا سازمان، و اختلال در سرویس‌های کلیدی است؛ در موارد severe می‌تواند به takeover کامل سیستم و laterally compromise شبکه منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-30397
2. https://www.cvedetails.com/cve/CVE-2025-30397/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30397
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30397
5. https://vuldb.com/?id.308709
6. https://www.vicarius.io/vsociety/posts/cve-2025-30397-type-confusion-vulnerability-in-microsoft-scripting-engine-mitigation-script
7. https://www.vicarius.io/vsociety/posts/cve-2025-30397-type-confusion-vulnerability-in-microsoft-scripting-engine-detection-script
8. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30397
9. https://github.com/B1ack4sh/Blackash-CVE-2025-30397
10. https://nvd.nist.gov/vuln/detail/cve-2025-30397
11. https://cwe.mitre.org/data/definitions/843.html