- شناسه CVE-2025-50168 :CVE
- CWE-843, CWE-122 :CWE
- yes :Advisory
- منتشر شده: آگوست 12, 2025
- به روز شده: نوامبر 10, 2025
- امتیاز: 7.8
- نوع حمله: Type Confusion
- اثر گذاری: Privilege Escalation
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری افزایش سطح دسترسی لوکال در Win32K ویندوز به دلیل سردرگمی نوع (Type Confusion) و سرریز بافر مبتنی بر هیپ در کامپوننت ICOMP است. مهاجم با دسترسی پایین میتواند با سوءاستفاده از این ضعف، سطح دسترسی خود را به سطح SYSTEM افزایش دهد.
توضیحات
آسیبپذیری CVE‑2025‑50168 یک ضعف جدی افزایش سطح دسترسی در زیرسیستم Win32K ویندوز است؛ زیرسیستمی که نقش اصلی را در مدیریت رابط کاربری گرافیکی، رویدادهای ورودی و پردازش آبجکتهای گرافیکی در سطح کرنل بر عهده دارد. این ضعف بهطور خاص در کامپوننت ICOMP(Image Color Management Object Pointer) رخ میدهد؛ بخشی که مسئول مدیریت ارجاع و پردازش آبجکتهای مرتبط با تصویر و رنگ است. این آسیبپذیری به دلیل ترکیب دو ضعف سردرگمی نوع (Type Confusion) مطابق با CWE‑843 و سرریز بافر مبتنی بر هیپ مطابق با CWE‑122 ایجاد می شود.
سردرگمی نوع، زمانی رخ می دهد که Win32K یک آبجکت گرافیکی ناسازگار را بهعنوان نوعی متفاوت و معتبر تفسیر میکند و در نتیجه عملیات داخلی روی حافظهای انجام میشود که برای آن نوع تعریف نشده است. این خطا زمینه را برای ضعف دوم، یعنی سرریز بافر مبتنی بر هیپ فراهم میکند؛ جایی که دادهها به بافری روی هیپ نوشته میشوند که اندازه آن با داده واقعی همخوانی ندارد و این نوشتن خارج از محدوده به مهاجم امکان میدهد ساختارهای حساس حافظه کرنل را بازنویسی کرده و جریان اجرای سیستم را کنترل کند.
بهرهبرداری از این آسیبپذیری بهصورت لوکال انجام میشود و به تعامل کاربری نیاز ندارد. مهاجم تنها با در اختیار داشتن یک حساب با دسترسی پایین میتواند آبجکت گرافیکی دستکاریشده را ایجاد کرده و آن را به Win32K ارسال کند تا سردرگمی نوع فعال شده و سرریز بافر رخ دهد؛ سپس با استفاده از این وضعیت و هدایت جریان کنترل اجرایی، کد دلخواه خود را در سطح کرنل اجرا کرده و سطح دسترسی را به سطح SYSTEM افزایش دهد. از آنجا که مراحل حمله قابل پیشبینی و کنترلشده هستند، امکان خودکارسازی کامل این فرآیند از طریق اسکریپتها یا ابزارهای ساده وجود دارد.
پیامدهای این ضعف از نظر امنیتی بسیار جدی است؛ زیرا مهاجم پس از افزایش سطح دسترسی میتواند به تمامی دادههای حساس دسترسی یافته، هرگونه فایل یا پیکربندی را تغییر دهد و حتی سرویسهای حیاتی سیستم را غیرفعال کرده یا عملکرد سیستم را مختل کند. بنابراین محرمانگی، یکپارچگی و دسترسپذیری با شدت بالا تحت تأثیر قرار میگیرند. مایکروسافت این آسیبپذیری را در بهروزرسانیهای امنیتی آگوست 2025 بهطور کامل پچ کرده است و توصیه میشود تمامی سیستمها در سریعترین زمان ممکن به نسخههای امن بهروزرسانی شوند.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.22621.0 before 10.0.22621.5768 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| affected from 10.0.26100.0 before 10.0.26100.4946 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.22631.0 before 10.0.22631.5768 | ARM64-based Systems | Windows 11 version 22H3 |
| affected from 10.0.22631.0 before 10.0.22631.5768 | x64-based Systems | Windows 11 Version 23H2 |
| affected from 10.0.25398.0 before 10.0.25398.1791 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.4946 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26100.0 before 10.0.26100.4946 | x64-based Systems | Windows Server 2025 |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.22621.5768 | ARM64-based Systems, x64-based Systems | Windows 11 version 22H2 |
| 10.0.26100.4946 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.22631.5768 | ARM64-based Systems | Windows 11 version 22H3 |
| 10.0.22631.5768 | x64-based Systems | Windows 11 Version 23H2 |
| 10.0.25398.1791 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.4946 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26100.4946 | x64-based Systems | Windows Server 2025 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Windows Win32K و محصولات Windows Server و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 120 | site:.ir “Windows Win32K” | Windows Win32K |
| 278,000 | site:.ir “Windows Server” | Windows Server |
| 492,000 | site:.ir “Windows 11” | Windows 11 |
نتیجه گیری
این آسیبپذیری با شدت بالا در Win32K ویندوز، به دلیل ترکیب سردرگمی نوع و سرریز بافر مبتنی بر هیپ در کامپوننت ICOMP امکان افزایش دسترسی لوکال از سطح کاربر معمولی به سطح SYSTEM را فراهم میکند و میتواند منجر به کنترل کامل سیستمهای ویندوز شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام سیستمها را با پچ های امنیتی آگوست 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- اصل حداقل دسترسی: حسابهای کاربری را با حداقل مجوز لازم اجرا کنید و از User Account Control (UAC) و سیاستهای دسترسی ویندوز برای محدود کردن توانایی اجرای عملیات سطح کرنل استفاده نمایید.
- تقویت ایمن سازی سیستم (Hardening): ویژگیها، سرویسها و APIهای گرافیکی غیرضروری را غیرفعال کنید و تعداد برنامههای وابسته به Win32K و سطح گرافیکی کرنل (بهویژه روی سرورها) را کاهش دهید.
- ایزولهسازی فرآیندها: برنامههای ناشناس یا با ریسک بالا را در محیطهای ایزوله مانند Windows Sandbox، AppContainer یا ماشین مجازی اجرا کنید تا تعامل مستقیم آنها با Win32K محدود شود.
- نظارت و تشخیص: رویدادهای امنیتی مرتبط با فرآیندهای غیرعادی، کرش های مشکوک Win32K و عملکردهای غیرمنتظره دسترسی به حافظه را با ابزارهایی مانند Microsoft Defender for Endpoint یا SIEM مانیتور کنید و الگوهای افزایش دسترسی را شناسایی نمایید.
- تست امنیتی: سیستم را با ابزارهای معتبر ایمن سازی و تحلیل سطح دسترسی مانند PowerUp، Seatbelt، یا WinPwn برای شناسایی نقاط آسیب پذیر لوکال بررسی کنید.
- آموزش توسعهدهندگان: تیمهای توسعه را نسبت به ریسکهای سردرگمی نوع و مدیریت نادرست حافظه در APIهای گرافیکی به ویژه کامپوننتICOMP آگاه کنید تا از تکرار ضعفهای مشابه جلوگیری شود.
اجرای این اقدامات، بهویژه بهروزرسانی فوری و رعایت اصل حداقل دسترسی، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش داده و امنیت زیرسیستم گرافیکی و کرنل ویندوز را بهصورت قابلتوجهی تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Execution (TA0002)
مهاجم یک آبجکت گرافیکی دستکاریشده را به Win32k تزریق میکند تا Type Confusion + Heap Overflow در ICOMP فعال شود. این ضعف باعث اجرای کد دلخواه در سطح کرنل میشود و نقطه اصلی Exploitation در همین مرحله است.
Privilege Escalation (TA0004)
بلافاصله پس از Exploit، مهاجم با هدایت جریان اجرای کرنل و بازنویسی ساختارهای حساس، سطح دسترسی را از Low-Privilege به SYSTEM ارتقا میدهد. این تاکتیک، تاکتیک اصلی و قطعی برای این CVE است.
Defense Evasion (TA0005)
بهرهبرداری در فضای کرنل و از طریق یک مسیر کاملاً داخلی Win32k انجام میشود؛ هیچ رفتار شبکهای یا API مشکوک تولید نمیشود. نتیجه: EDR/AVهای مبتنی بر رفتار سطح کاربر عملاً چیزی نمیبینند و تشخیص سخت میشود.
Credential Access (TA0006)
پس از رسیدن به سطح SYSTEM، مهاجم میتواند به حافظه پردازشهای حساس دسترسی یافته و Token Manipulation انجام دهد. این تاکتیک جزو پیامدهای بعد از Escalation است، نه بخشی از خود Exploit
Impact (TA0040)
کنترل کامل سیستم، امکان دستکاری فایلها، خاموشکردن سرویسهای حیاتی، نصب Backdoor یا ایجاد Persistence در سطح SYSTEM مهاجم بدون نیاز به شبکه یا تعامل کاربر میتواند CIA را همزمان نقض کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-50168
- https://www.cvedetails.com/cve/CVE-2025-50168/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50168
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50168
- https://vuldb.com/?id.319619
- https://nvd.nist.gov/vuln/detail/CVE-2025-50168
- https://cwe.mitre.org/data/definitions/843.html
- https://cwe.mitre.org/data/definitions/122.html
