CVE-2025-47981

چکیده

آسیب‌پذیری بحرانی سرریز بافر مبتنی بر هیپ در مکانیزم SPNEGO Extended Negotiation (NEGOEX) ویندوز، امکان اجرای کد از راه دور توسط مهاجم بدون نیاز به احراز هویت را فراهم می‌کند. مهاجم با ارسال پیام‌های مخرب به سرویس‌های مبتنی بر SPNEGO (به‌ویژه با PKU2U فعال) می‌تواند جریان اجرای برنامه را منحرف کرده و در نهایت کنترل کامل سیستم را به دست آورد.

توضیحات

آسیب‌پذیری CVE‑2025‑47981 ناشی از سرریز بافر مبتنی بر هیپ مطابق با CWE‑122 در مکانیزم SPNEGO Extended Negotiation (NEGOEX) ویندوز است؛ مکانیزمی که برای گسترش قابلیت‌های SPNEGO و مذاکره میان روش‌های احراز هویت مانند Kerberos و NTLM استفاده می‌شود. این ضعف در مرحله پردازش پیام‌های Extended Negotiation رخ می‌دهد؛ جایی که داده دریافتی از کلاینت بدون اعتبارسنجی کافی وارد ساختارهای حافظه هیپ می‌شود و شرایط سرریز ایجاد می گردد. مهاجم با ایجاد و ارسال پیام‌های SPNEGO دستکاری‌شده، می‌تواند ساختارهای تخصیص‌یافته هیپ را مختل کرده و امکان اجرای کد از راه دور را در سطح سرویس پردازش احراز هویت شبکه (Authentication Service Processing Level) به‌دست آورد.

بهره‌برداری از این ضعف بدون نیاز به احراز هویت و کاملاً از طریق شبکه قابل انجام است. به دلیل فرمت‌بندی ساده و قابل پیش‌بینی پیام‌های NEGOEX، ایجاد درخواست مخرب آسان است و حمله به‌طور کامل قابل خودکارسازی بوده و مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای اتوماسیونی حجم بسیار زیادی از پیام‌های جعلی SPNEGO ارسال کند. فعال بودن سیاست Network security: Allow PKU2U authentication requests to this computer to use online identities (اجازه به درخواست‌های احراز هویت PKU2U برای استفاده از هویت‌های آنلاین) که به‌صورت پیش‌فرض از ویندوز 10 نسخه 1607 فعال است، سطح حمله را افزایش می‌دهد؛ زیرا این سیاست مسیرهای اضافی احراز هویت مبتنی‌بر PKU2U را در جریان SPNEGO فعال می‌کند و در نتیجه NEGOEX باید ورودی‌های بیشتری را پردازش کند. همین افزایش سطح ورودی‌ها امکان سوءاستفاده و موفقیت حمله را بالاتر می‌برد.

با توجه به جایگاه NEGOEX در زنجیره احراز هویت شبکه، بهره‌برداری موفق از این آسیب‌پذیری می‌تواند پیامدهای جدی شامل افشای داده‌های حساس، دستکاری اطلاعات و اختلال در سرویس‌های حیاتی داشته باشد. ماهیت اجرای کد از راه دور در این لایه می‌تواند مسیر حملات پیچیده‌تر و حرکت جانبی مهاجم در شبکه را نیز فراهم کند.

برای ارزیابی و کاهش ریسک، مجموعه‌ای از اسکریپت‌های تشخیص و کاهش ریسک منتشر شده‌اند. اسکریپت‌های تشخیصی نسخه ویندوز را با نسخه‌های آسیب‌پذیر مقایسه کرده، وضعیت فعال یا غیرفعال بودن PKU2U را بررسی می‌کنند و پورت‌های حساس در معرض حمله مانند 135، 445 و 5985 را اسکن می‌کنند. خروجی این اسکریپت‌ها گزارش جامعی از سطح مواجهه سیستم ارائه می‌دهد. مایکروسافت این آسیب‌پذیری را در به‌روزرسانی امنیتی جولای 2025 برای تمامی نسخه‌های تحت پشتیبانی ویندوز پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server،Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری بحرانی در مکانیزم NEGOEX ویندوز، امکان اجرای کد از راه دور بدون احراز هویت را فراهم می‌کند و در صورت فعال بودن PKU2U، سطح حمله را به‌طور چشمگیری افزایش می‌دهد. با توجه به انتشار پچ رسمی اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را با پچ های امنیتی جولای 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• غیرفعال‌سازی PKU2U: سیاست گروهی Network security: Allow PKU2U authentication requests to this computer to use online identities را در صورت عدم نیاز غیرفعال کنید.
• مسدودسازی پورت‌ها: پورت‌های آسیب‌پذیر 135، 445 و 5985 را با فایروال ویندوز یا فایروال اپلیکیشن وب (WAF) مسدود نمایید.
• ایزوله‌سازی شبکه: سرورهای دامنه و سرورهای حیاتی را در بخش های جداگانه شبکه قرار دهید و دسترسی عمومی به NEGOEX را محدود کنید.
• نظارت و تشخیص: لاگ‌های امنیتی مرتبط با SPNEGO (Event IDهای) را با ابزارهایی مانند Microsoft Defender for Endpoint یا SIEM مانیتور کنید.
• تست امنیتی: از اسکریپت‌های تشخیص Vicarius برای ارزیابی آسیب‌پذیری استفاده کنید.
• آموزش مدیران: تیم‌های امنیت را درباره ریسک‌های NEGOEX و PKU2U آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری و غیرفعال‌سازی PKU2U، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت احراز هویت شبکه در محیط‌های ویندوز را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از سطح شبکه و بدون احراز هویت با ارسال پیام‌های دستکاری‌شده‌ی SPNEGO/NEGOEX به سرویس‌های احراز هویت ویندوز، یک نقطه ورود مستقیم ایجاد می‌کند. این ورودی به‌دلیل ماهیت پروتکل و قابلیت پردازش خودکار، امکان اسکن حجمی و حملات انبوه را فراهم می‌کند و عملاً یک مسیر اولیه بدون نیاز به تعامل کاربر ارائه می‌دهد.

Execution (TA0002)

سرریز بافر هیپ اجازه تزریق و اجرای مستقیم RCE را در کانتکست سرویس‌های مبتنی بر NEGOEX فراهم می‌کند. اجرای کد در سطح Authentication Service خطرناک است، چون سرویس در سطح سیستمی و پیش‌احرازشده کار می‌کند و مهاجم می‌تواند بدون هرگونه Credential، دستورات دلخواه را روی ماشین اجرا کند.

Privilege Escalation (TA0004)

اجرای کد در سطح سرویس‌های امنیتی شبکه معمولاً در سطح Local System رخ می‌دهد. همین باعث می‌شود مهاجم از هیچ به سطح کامل سیستم برسد.

Defense Evasion (TA0005)

کد مخرب در مسیر پردازش پروتکل احراز هویت اجرا می‌شود؛ جایی که ابزارهای EDR معمولاً به‌صورت عمیق نظارت نمی‌کنند. بسته‌های SPNEGO فرمت عادی دارند و مهاجم می‌تواند با mimic کردن جریان ترافیک طبیعی، لاگ‌های امنیتی را دور بزند. عدم وجود اعتبارسنجی عمیق روی پیام‌های NEGOEX نیز به پنهان ماندن حمله کمک می‌کند.

Credential Access (TA0006)

پس از دسترسی سیستمی، مهاجم می‌تواند حافظه LSA، کش رمزنگاری Kerberos، NTLM Hashها و Ticketها را استخراج کند. این آسیب‌پذیری به‌صورت مستقیم Credential را لو نمی‌دهد، ولی سطح اجرای RCE اجازه دسترسی کامل به ساختارهای امنیتی ویندوز را فراهم می‌کند.

Discovery (TA0007)

با اجرای کد بر روی سرویس احراز هویت، مهاجم امکان اسکن سرویس‌ها، دامنه‌ها، Sessionها و مسیرهای Kerberos/NTLM را پیدا می‌کند. این لایه معمولاً دسترسی وسیعی به اطلاعات زیرساخت دارد و مهاجم بسیار سریع می‌تواند توپولوژی شبکه را شناسایی کند.

Collection (TA0009)

دسترسی سیستمی روی سرورهای حیاتی Domain Controller، فایل سرور، سرورهای AD FS به مهاجم اجازه می‌دهد داده‌های حساس، Credentialها، Sessionها، Policyها و Secrets را جمع‌آوری کند. این به‌خصوص برای حملات APT بسیار ارزشمند است.

Exfiltration (TA0010)

مسیرهای خروج داده با مجوز Local System بدون محدودیت قابل استفاده هستند. مهاجم می‌تواند داده‌های استخراج‌شده را از طریق HTTP/SMB/Encrypted Channels بدون جلب توجه خارج کند. چون ترافیک احراز هویت معمولاً رمزگذاری شده است، شناسایی خروج داده سخت می‌شود.

Impact (TA0040)

بخاطر اجرای کد از راه دور در سطح سرویس‌های امنیتی، سیستم می‌تواند کاملاً از کار بیفتد، سیاست‌های امنیتی دستکاری شوند، اطلاعات حساس دزدیده شود و حتی تصاحب کامل سیستم (Full System Compromise) رخ دهد. در سازمان‌ها این آسیب‌پذیری می‌تواند به Domain Compromise و در نهایت کنترل کامل شبکه منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-47981
2. https://www.cvedetails.com/cve/CVE-2025-47981/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
4. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47981
5. https://vuldb.com/?id.315445
6. https://www.vicarius.io/vsociety/posts/cve-2025-47981-detection-script-heap-based-buffer-overflow-in-windows-spnego-extended-negotiation
7. https://www.vicarius.io/vsociety/posts/cve-2025-47981-mitigation-script-heap-based-buffer-overflow-in-windows-spnego-extended-negotiation
8. https://nvd.nist.gov/vuln/detail/CVE-2025-47981
9. https://cwe.mitre.org/data/definitions/122.html