- شناسه CVE-2025-49683 :CVE
- CWE-190, CWE-122 :CWE
- yes :Advisory
- منتشر شده: جولای 8, 2025
- به روز شده: آگوست 23, 2025
- امتیاز: 7.8
- نوع حمله: Unknown
- اثر گذاری: Remote code execution(RCE)
- حوزه: سیستمهای مجازیسازی و مدیریت ابری
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز یا چرخش عدد صحیح (Integer Overflow or Wraparound) در فرمت Virtual Hard Disk (VHDX) شناسایی شده است که به مهاجمان غیرمجاز اجازه میدهد کد را بهصورت لوکال اجرا کرده یا در سیستمهای جدیدتر، منجر به شرایط انکار سرویس (DoS)شوند.
توضیحات
آسیبپذیری CVE-2025-49683 از نوع سرریز یا چرخش عدد صحیح (مطابق با CWE-190) و سرریز بافر مبتنی بر هیپ (مطابق با CWE-122) است. این ضعف امنیتی در VHDX ایجاد شده و به مهاجمان اجازه میدهد از طریق دسترسی لوکال با نیاز به تعامل کاربر، سیستم را هدف قرار دهند. مهاجم میتواند با فریب کاربر، یک VHD مخرب نصب کند که این موضوع منجر به اجرای کد دلخواه یا ایجاد انکار سرویس (DoS) میشود. این آسیبپذیری تأثیر بالایی بر محرمانگی، یکپارچگی و دسترسپذیری سیستم دارد.
برای این آسیبپذیری، یک کد اثبات مفهومی (PoC) به صورت اسکریپت PowerShell ارائه شده که فرآیند ایجاد، اتصال و دستکاری VHDX مخرب را نشان میدهد. این PoC و اکسپلویتهای عمومی مشابه، نشان میدهند که در محیطهای آسیبپذیر، مهاجم میتواند با اجرای محلی فایل VHD مخرب، سیستم را دچار اختلال یا اجرای کد دلخواه کند.
این آسیب پذیری در نسخههای Windows Server 2008 و قدیمیتر، امکان اجرای کد از راه دور را فراهم میکند، اما در Windows 7 و نسخههای جدیدتر شامل Windows Server 2008 R2و بالاتر، مکانیزمهای حفاظتی موجود از اجرای کد جلوگیری کرده و فقط باعث ایجاد شرایط انکار سرویس میشوند. مایکروسافت برای تمامی نسخههای آسیبپذیر پچهای رسمی منتشر کرده است که نصب آنها امنیت سیستم را تضمین میکند.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.17763.0 before 10.0.17763.7558 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| affected from 10.0.17763.0 before 10.0.17763.7558 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.7558 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.3932 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.19044.0 before 10.0.19044.6093 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| affected from 10.0.22621.0 before 10.0.22621.5624 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| affected from 10.0.19045.0 before 10.0.19045.6093 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| affected from 10.0.26100.0 before 10.0.26100.4652 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.22631.0 before 10.0.22631.5624 | ARM64-based Systems | Windows 11 version 22H3 |
| affected from 10.0.22631.0 before 10.0.22631.5624 | x64-based Systems | Windows 11 Version 23H2 |
| affected from 10.0.25398.0 before 10.0.25398.1732 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.4652 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26100.0 before 10.0.26100.4652 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.10240.0 before 10.0.10240.21073 | 32-bit Systems, x64-based Systems | Windows 10 Version 1507 |
| affected from 10.0.14393.0 before 10.0.14393.8246 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| affected from 10.0.14393.0 before 10.0.14393.8246 | x64-based Systems
|
Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.8246 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23418 | 32-bit Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.0.6003.0 before 6.0.6003.23418 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23418 | x64-based Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.1.7601.0 before 6.1.7601.27820 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| affected from 6.1.7601.0 before 6.1.7601.27820 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| affected from 6.2.9200.0 before 6.2.9200.25573 | x64-based Systems | Windows Server 2012 |
| affected from 6.2.9200.0 before 6.2.9200.25573 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.22676 | x64-based Systems | Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.22676 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.17763.7558 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| 10.0.17763.7558 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.7558 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.3932 | x64-based Systems | Windows Server 2022 |
| 10.0.19044.6093 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| 10.0.22621.5624 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| 10.0.19045.6093 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| 10.0.26100.4652 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.22631.5624 | ARM64-based Systems | Windows 11 version 22H3 |
| 10.0.22631.5624 | x64-based Systems | Windows 11 Version 23H2 |
| 10.0.25398.1732 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.4652 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26100.4652 | x64-based Systems | Windows Server 2025 |
| 10.0.10240.21073 | 32-bit Systems, x64-based Systems | Windows 10 Version 1507 |
| 10.0.14393.8246 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| 10.0.14393.8246 | x64-based Systems
|
Windows Server 2016 |
| 10.0.14393.8246 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| 6.0.6003.23418 | 32-bit Systems | Windows Server 2008 Service Pack 2 |
| 6.0.6003.23418 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| 6.0.6003.23418 | x64-based Systems | Windows Server 2008 Service Pack 2 |
| 6.1.7601.27820 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| 6.1.7601.27820 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| 6.2.9200.25573 | x64-based Systems | Windows Server 2012 |
| 6.2.9200.25573 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| 6.3.9600.22676 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.22676 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در دامنه .ir که به هر محصول اشاره دارند، ثبت شده است. این روش صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان استفاده دقیق نیست.
| Approx. Usage in .ir Domain
(Total Pages) |
Product |
| 838 | Windows 10 Version 1809 |
| 17.703 | Windows Server 2019 |
| 105 | Windows Server 2019 (Server Core installation) |
| 11903 | Windows Server 2022 |
| 216 | Windows 10 Version 21H2 |
| 9170 | Windows 11 version 22H2 |
| 9070 | Windows 10 Version 22H2 |
| 3 | Windows Server 2025 (Server Core installation) |
| 1 | Windows 11 version 22H3 |
| 2 | Windows 11 Version 23H2 |
| 42 | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 9040 | Windows 11 Version 24H2 |
| 22200 | Windows Server 2025 |
| 109 | Windows 10 Version 1507 |
| 283 | Windows 10 Version 1607 |
| 29307 | Windows Server 2016 |
| 108 | Windows Server 2016 (Server Core installation) |
| 155 | Windows Server 2008 Service Pack 2 |
| 2 | Windows Server 2008 Service Pack 2 (Server Core installation) |
| 155 | Windows Server 2008 Service Pack 2 |
| 87 | Windows Server 2008 R2 Service Pack 1 |
| 4 | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| 22710 | Windows Server 2012 |
| 90 | Windows Server 2012 (Server Core installation) |
| 12003 | Windows Server 2012 R2 |
| 70 | Windows Server 2012 R2 (Server Core installation) |
نتیجه گیری
با توجه به شدت و ماهیت این آسیبپذیری و تأثیر بالای آن بر سیستم، توصیه میشود که تمامی سیستمهای آسیبپذیر در اسرع وقت به نسخه های پچ شده به روزرسانی شوند. علاوه بر بهروزرسانی سیستمها، اقدامات پیشگیرانه زیر نیز توصیه میشود:
- محدود کردن دسترسی به فایلهای VHDX: تنها کاربران و سرویسهای مجاز باید امکان دسترسی و نصب فایلهای VHDX را داشته باشند.
- آموزش و افزایش آگاهی کاربران: کاربران باید نسبت به ریسک نصب VHD مخرب آگاه باشند و از باز کردن فایلهای ناشناس خودداری کنند.
- تقویت سیاستهای مدیریت دسترسی: حسابهای کاربری لوکال و سرویسها باید کمترین دسترسی لازم را داشته باشند تا حتی در صورت سوءاستفاده، دامنه آسیب محدود باشد.
- نظارت و لاگگیری: ثبت و نظارت بر فعالیتهای مرتبط با نصب و اجرای VHD میتواند به شناسایی حملات احتمالی کمک کند.
- آزمایش و اعتبارسنجی امنیتی مداوم: انجام دورهای تستهای نفوذ و بررسی آسیبپذیریها، بهویژه در محیطهای حساس، میتواند احتمال بهرهبرداری موفق مهاجمان را کاهش دهد.
اجرای این اقدامات در کنار اعمال پچهای رسمی، ریسک سوءاستفاده از آسیبپذیری را به حداقل رسانده و امنیت و پایداری سیستمها را تضمین میکند.
امکان استفاده در تاکتیک های Mitre Attack
- Initial Access (TA0001)
002 – User Execution: Malicious File
مهاجم با ارسال یک فایل VHDX مخرب و فریب کاربر برای نصب یا اجرای آن، میتواند دسترسی اولیه به سیستم قربانی را بهدست آورد. - Execution (TA0002)
T1203 – Exploitation for Client Execution
اجرای فایل VHDX آلوده موجب بهرهبرداری از آسیبپذیری در سیستمعامل و اجرای کد دلخواه مهاجم میشود. - Privilege Escalation (TA0004)
T1068 – Exploitation for Privilege Escalation
استفاده از VHDX مخرب ممکن است به مهاجم اجازه دهد از سطح دسترسی عادی به سطح بالاتر ارتقا یابد. - Defense Evasion (TA0005)
005 – Masquerading: Match Legitimate Name or Location
مهاجم میتواند VHDX مخرب را با نامها یا مسیرهای معتبر سیستمعامل پنهان کند تا از شناسایی جلوگیری کند.
T1564.004 – Hide Artifacts: NTFS File Attributes
استفاده از ویژگیهای فایل NTFS برای پنهانسازی فایلهای مخرب در VHD. - Persistence (TA0003)
001 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
در صورت بهرهبرداری موفق، مهاجم ممکن است از طریق بارگذاری خودکار VHD مخرب در هنگام راهاندازی سیستم، پایداری بلندمدت ایجاد کند. - Impact (TA0040)
T1499 – Endpoint Denial of Service (DoS)
اجرای فایل VHDX مخرب ممکن است منجر به کرش یا توقف سرویس شود و سیستم را از دسترس خارج کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-49683
- https://www.cvedetails.com/cve/CVE-2025-49683/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49683
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-49683
- https://vuldb.com/?id.315513
- https://github.com/TheOrlonHammer/Auditoria
- https://nvd.nist.gov/vuln/detail/CVE-2025-49683
- https://cwe.mitre.org/data/definitions/190.html
- https://cwe.mitre.org/data/definitions/122.html
گزارش فنی – اثبات آسیبپذیری Windows (CVE-2025-49683)
- معرفی آسیبپذیری
- نرمافزار آسیبپذیر: ویندوز (چندین نسخه)
- نسخههای آسیبپذیر : بسیاری از توزیعهای Windows با Hyper-V فعال
- ماهیت مشکل : امکان دستکاری فایلهای VHDX در سطح بایت که میتواند باعث ناپایداری سیستم یا اجرای کد از راه دور (RCE) شود.
- پیامد: مهاجم محلی یا با دسترسی محدود میتواند با تغییر ساختار VHDX باعث رفتار غیرمنتظره سیستم یا اجرای کد با دسترسی بالا شود.
- محیط آزمایش
برای بازتولید PoC شرایط زیر لازم است:
- سیستم عامل: ویندوز با Hyper-V نصب شده
- دسترسی: حساب کاربری با دسترسی ادمین برای اجرای PoC ، PoC ارائه شده در GitHub
- ابزارها: PowerShell
- اجرای PoC
گام 1: اجرای PowerShell به صورت Administrator
Run as Administrator
گام 2: بررسی نسخه ویندوز
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
گام 3: بررسی فعال بودن Hyper–V
Get-Command *-VHD
اگر فعال نبود، نصب کنید:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Management-PowerShell
گام 4: اجازه اجرای اسکریپتهای unsigned در PowerShell
Set-ExecutionPolicy Bypass -Scope CurrentUser
Get-ExecutionPolicy #باشد Bypass باید
گام 5: اجرای اسکریپت PoC(موجود در GitHub)
.\vdh.ps1
پس از اجرای PoC، سیستم از شما میخواهد تا درایو را فرمت کنید و سپس ویندوز ریستارت میشود. بعد از راهاندازی مجدد، یک CMD ظاهر شده و از شما میخواهد مقدار “0” را وارد کنید تا سیستم به حالت عادی برگردد. بهتر است این PoC تنها در محیط آزمایشگاهی اجرا شود تا به سیستم آسیب نرسد.
اسکریپت vdh.ps1به صورت نمایشی یک دیسک مجازی (VHDX) میسازد، آن را مونت میکند، فرمت میزند و سپس چند بایت درون فایل VHDX را بهصورت دستی تغییر میدهد تا خرابی (corruption) شبیهسازی شود. بعد از وارد کردن این تغییرات، دوباره دیسک خرابشده را بارگذاری میکند و سعی میکند محتویات آن را بخواند تا اثر خرابی دیده شود. این بخش نشان میدهد که چگونه تغییر کوچک در سطح بایت میتواند باعث رفتار غیرعادی در Hyper-V یا فایلسیستم شود.
در ادامه، اسکریپت یک فایل batch داخل دیسک مجازی ایجاد میکند که با اجرای آن، سیستم بلافاصله ریستارت میشود. در پایان نیز از کاربر میخواهد که کلید 0 را فشار دهد؛ اگر این کار انجام شود، اسکریپت دیسک مجازی را از سیستم جدا کرده و فایل خراب VHDX را پاک میکند (cleanup) . در غیر این صورت، دیسک باقی میماند. هدف اصلی این PoC نشان دادن شدت آسیبپذیری 49683-2025 CVE- است.
- تحلیل فنی PoC
- اسکریپت PoC فایل VHDX را در سطح بایت تغییر میدهد.
- دستکاری فایل باعث میشود که Hyper-V یا سیستم عامل رفتار غیرمنتظره یا آسیبپذیری RCE نشان دهد.
- دلیل مشکل عدم بررسی کامل یکپارچگی و اعتبار فایل VHDX در زمان بارگذاری یا اجرای آن است
- رفع مشکل
- سیستم ویندوز را بروزرسانی کنید
- مطمئن شوید PowerShell فقط اسکریپتهای امضاشده را اجرا میکند
- دسترسی ادمین تنها به کاربران مورد اعتماد داده شود.
- زنجیره حمله
شکل زیر زنجیره حمله مربوط به سوءاستفاده از این آسیب پذیری را نشان می دهد
CVE-2025-49683 – Windows VHDX File Manipulation Vulnerability
- CVE ID: CVE-2025-49683
- Severity: High (Potential Remote Code Execution)
- Affected Systems: Multiple Windows distributions with Hyper-V enabled
- Tested On: Windows 11 Pro (Build xxxx)
- References:
📌 Description
File manipulation in Windows may lead to system instability or remote code execution (RCE).
This CVE demonstrates that corrupting a VHDX file at the byte level can cause unexpected behavior and potential exploitation.
⚙️ Prerequisites
- Windows system with Hyper-V feature available
- PowerShell v5 or later
- Administrative privileges
- Lab/test environment (⚠️ do not run on production systems)
🚀 Proof of Concept (PoC)
- Run PowerShell as Administrator
- Check Windows version
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" - Check if Hyper-V is enabled
Get-Command *-VHDIf not enabled, run one of the following commands:
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Management-PowerShell - Allow execution of unsigned scripts in PowerShell
Set-ExecutionPolicy Bypass -Scope CurrentUserVerify:
Get-ExecutionPolicyIt should return Bypass.
- Run the script
.\vdh.ps1
📊 Expected Result
- System prompts to format the driver
- System restarts
- After reboot, a command prompt appears asking for input
0to restore the system to normal
⚠️ This should only be tested in a lab environment. Running this on a production system may cause irreversible data loss or instability.
✅ Mitigation
- Update Windows to the latest patched version
- Restrict PowerShell to run only signed scripts
- Limit administrative privileges to trusted users only
⚠️ Disclaimer
This repository and PoC are provided for educational and research purposes only.
Do NOT use this code against systems without explicit authorization. The author is not responsible for any misuse or damages caused.
