CVE-2025-48807

چکیده

آسیب‌پذیری در Windows Hyper-V به‌دلیل محدود نکردن صحیح کانال ارتباطی به اندپوینت های مجاز است. مهاجم با دسترسی لوکال و حساب معتبر می‌تواند از این ضعف سوءاستفاده کرده و کد دلخواه را روی سیستم اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-48807 در Windows Hyper-V به دلیل محدود نکردن صحیح کانال‌های ارتباطی به اندپوینت‌های مجاز است و مطابق با CWE-923 طبقه‌بندی می‌شود. Hyper-V یک هایپروایزر نوع 1 (Type-1 hypervisor) است که روی سخت‌افزار اجرا می‌شود و برای مجازی‌سازی سرور و دسکتاپ امکان ایجاد ماشین‌های مجازی (VM) و مجازی‌سازی تو در تو (nested virtualization) را فراهم می کند.

در این ضعف، کانال‌های ارتباطی داخلی Hyper-V مانند رابط لوکال ماشین مجازی (VM interface) به‌درستی محدود نمی‌شوند. مهاجم مجازِ دارای دسترسی پایین که در یک ماشین مجازی مهمان (guest) قرار دارد، می‌تواند با ارسال درخواست‌های دستکاری‌شده، هنگام انجام عملیات مدیریتی از سوی ادمین روی میزبان (host)، شرایط رقابتی (race condition) را فعال کند. این شرایط زمانی رخ می‌دهد که ادمین عملیات مدیریتی را از سیستم میزبان اجرا کند (نه از داخل guest یا nested guest).

در نتیجه، مهاجم می‌تواند از محیط مهمان به میزبان فرار کند، سطح دسترسی مدیریتی کسب کند و کد دلخواه را اجرا نماید. در این آسیب‌پذیری، واژه «Remote» به‌معنای موقعیت مهاجم است، یعنی مهاجم از داخل یک ماشین مجازی (guest) عمل می‌کند؛ در واقع فرآیند سوءاستفاده باید به‌صورت لوکال اجرا شود، زیرا آسیب‌پذیری تنها از طریق رابط لوکال ماشین مجازی قابل دسترسی است.

بهره‌برداری از این ضعف به‌سادگی خودکارسازی نمی‌شود و نیازمند شرایط و تعامل خاصی است، مهاجم باید به‌صورت لوکال با دسترسی پایین و تعامل کاربر (نیاز به اقدام ادمین روی میزبان) درخواست‌های مکرر ارسال کند تا بر رقابت غلبه کرده و پیلودی برای افزایش دسترسی تزریق نماید. در سناریوهای مجازی‌سازی تو در تو (nested VM)، این مسیر می‌تواند از nested guest به guest و سپس به host ادامه یابد و کنترل کامل میزبان را به دنبال داشته باشد.

پیامدهای آسیب‌پذیری شامل محرمانگی با افشای داده‌های حساس، یکپارچگی با تغییر سیستم و در دسترس پذیری با انکار سرویس است، زیرا اجرای کد با دسترسی مدیریتی می‌تواند منجر به نفوذ کامل به میزبان شود. مایکروسافت این آسیب پذیری در به روزرسانی های سپتامبر 2025 پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در Hyper‑V، ریسک فرار از ماشین مجازی و اجرای کد دلخواه در محیط‌های مجازی‌سازی را افزایش می‌دهد و می‌تواند منجر به نفوذ کامل میزبان (host) از یک مهمان (guest) شود. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای جلوگیری از بهره‌برداری ضروری است:

• به‌روزرسانی فوری: همه سیستم‌های Hyper‑V را با پچ های امنیتی سپتامبر 2025 به روزرسانی کنید.
• محدودسازی دسترسی : اصل حداقل دسترسی را برای کاربران و مهمان‌ها اعمال کنید و از مجازی‌سازی تو‌در‌تو (nested virtualization) تنها در مواقع ضروری استفاده نمایید.
• جداسازی شبکه ماشین مجازی: ترافیک ماشین‌های مجازی را با استفاده از سوئیچ‌های مجازی ایزوله (Virtual Switch — isolated) و قوانین فایروال محدود کنید تا کانال‌های لوکال (local VM interfaces) مسدود یا محدود شوند.
• مانیتورینگ Hyper-V: لاگ‌های مربوط به Hyper‑V را با سامانه مدیریت و تحلیل رویدادهای امنیتی (SIEM) مانند Splunk یا ELK ارسال و بررسی کنید و برای درخواست‌های مشکوک از مهمان‌ها هشدار تعریف کنید.
• تست نفوذ: با ابزارهایی مانند Hyper‑V Exploitation Framework یا ماژول‌های Metasploit، محیط را تست کنید و در فرآیندها از اصل حداقل دسترسی پیروی نمایید.
• آموزش ادمین‌ها: تیم‌های عملیاتی را درباره ریسک‌های مرتبط با شرایط رقابتی (race conditions) هنگام مدیریت میزبان و ضرورت پرهیز از انجام عملیات مدیریتی هم‌زمان با مهمان های ناشناس آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و نظارت لاگ‌ها، امکان بهره‌برداری از این آسیب پذیری را به حداقل رسانده و امنیت محیط‌های Hyper-V را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با داشتن دسترسی به یک مهمان (guest) در محیط Hyper-V — حتی با امتیازات پایین — می‌تواند از کانال‌های محلی VM برای ارسال درخواست‌های دستکاری‌شده استفاده کند و نقطه ورود خود را ایجاد نماید.

Execution (TA0002)
بهره‌برداری منجر به اجرای کد دلخواه در میزبان (host) می‌شود — مهاجم با تحریک شرایط رقابتی هنگام انجام عملیات مدیریتی از سوی ادمین، می‌تواند پیلود مخرب را در میزبان اجرا کند.

Persistence (TA0003)
پس از اجرای کد روی میزبان، مهاجم می‌تواند مکانیزم‌های پایداری بسازد (درج سرویس، تغییر باینری‌ها، نصب درایور یا تمهید در رجیستری) تا دسترسی حفظ شود.

Privilege Escalation (TA0004)
با موفقیت اجرای کد روی میزبان، مهاجم سطح دسترسی خود را به سطح مدیریتی افزایش می‌دهد و قادر به تغییر پیکربندی‌ها، نصب بدافزار یا ایجاد حساب‌های پرامتیاز خواهد شد.

Defense Evasion (TA0005)
بهره‌برداری می‌تواند با تزریق و اجرای کد در میزبان به حذف آثار یا نصب ابزارهای مخفی برای فرار از مکانیزم‌های تشخیص منجر شود.

Lateral Movement (TA0008)
با کنترل میزبان، مهاجم ممکن است بتواند به سایر میزبان‌ها، کنترلرها یا محیط‌های ابری حرکت کند .

Impact (TA0040)
پیامد عملیاتی اصلی اجرای کد روی میزبان است. نفوذ کامل به زیرساخت مجازی شامل افشای داده‌های مهم میزبانی‌شده، دستکاری یا حذف VMها و قطع سرویس‌های حیاتی ممکن است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-48807
2. https://www.cvedetails.com/cve/CVE-2025-48807/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48807
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48807
5. https://vuldb.com/?id.319591
6. https://nvd.nist.gov/vuln/detail/CVE-2025-48807
7. https://cwe.mitre.org/data/definitions/923.html