- شناسه CVE-2025-50169 :CVE
- CWE-362, CWE-415 :CWE
- yes :Advisory
- منتشر شده: آگوست 12, 2025
- به روز شده: نوامبر 10, 2025
- امتیاز: 7.5
- نوع حمله: Double Memory Free
- اثر گذاری: Remote code execution(RCE)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری اجرای کد از راه دور در پروتکل SMB ویندوز ناشی از شرایط رقابتی (Race Condition) و آزادسازی دوگانه (Double Free) در مدیریت منابع مشترک است. این ضعف به مهاجم بدون نیاز به احراز هویت اجازه میدهد با فریب کاربر برای اتصال به سرور مخرب، کد دلخواه را از راه دور اجرا کند.
توضیحات
آسیبپذیری CVE-2025-50169 در پروتکل SMB (پروتکل استاندارد ویندوز برای اشتراکگذاری فایل، فولدر و پرینتر در شبکه) بهدلیل ترکیب دو ضعف شرایط رقابتی مطابق با CWE-362 و آزادسازی دوگانه حافظه مطابق با CWE-415 است. این ضعف هنگام پردازش همزمان درخواستهای SMB رخ میدهد و به مهاجم بدون نیاز به احراز هویت اجازه میدهد کد دلخواه را از راه دور اجرا نماید.
این حمله نیازمند موفقیت مهاجم در شرایط رقابتی است. مهاجم میتواند یک سرور SMB مخرب راهاندازی کند و با استفاده از اسکریپتها یا ابزارهای خودکار، کاربر را ترغیب کند تا به این سرور متصل شود. در لحظه برقراری اتصال، مهاجم تلاش میکند با پیروزی در شرایط رقابتی و سوءاستفاده از آزادسازی نادرست حافظه، جریان اجرای برنامه را کنترل کرده و کد مخرب خود را تزریق و اجرا نماید. در این حمله، تعامل کاربر برای اتصال به سرور مخرب الزامی است، اما مهاجم به هیچگونه دسترسی یا مجوز اضافی نیاز ندارد.
ترکیب Race Condition و Double Free باعث میشود یک thread عملیات آزادسازی حافظه را انجام دهد درحالیکه thread دیگر هنوز به همان فضای حافظه وابسته است. مهاجم دقیقاً همین «لحظه ناهمگامی» را هدف میگیرد تا ساختارهای حافظهای را که SMB برای مدیریت session و پاسخها استفاده میکند، دستکاری کند.
پیامدهای آسیبپذیری شامل تأثیر بالا بر محرمانگی، یکپارچگی و در دسترسپذیری است؛ مهاجم میتواند به دادههای حساس دسترسی یابد، سیستم را دستکاری کند و سرویس های حیاتی را مختل سازد. این آسیبپذیری با انتشار بهروزرسانیهای امنیتی آگوست 2025 بهطور کامل پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.26100.0 before 10.0.26100.4946 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.4946 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26100.0 before 10.0.26100.4946 | x64-based Systems | Windows Server 2025 |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.26100.4946 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.26100.4946 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26100.4946 | x64-based Systems | Windows Server 2025 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که کامپوننت Windows SMB و محصولات Windows Server و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 287 | site:.ir “Windows SMB” | Windows SMB |
| 278,000 | site:.ir “Windows Server” | Windows Server |
| 492,000 | site:.ir “Windows 11” | Windows 11 |
نتیجه گیری
این آسیبپذیری با شدت بالا در کامپوننت Windows SMB، بهدلیل وجود شرایط رقابتی و آزادسازی دوگانه ، مهاجم را قادر میسازد با فریب کاربر برای اتصال به یک سرور SMB مخرب، کد دلخواه را از راه دور اجرا کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام سیستمها را با پچ های امنیتی آگوست 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- غیرفعالسازی SMBهای قدیمی (در صورت عدم نیاز): پروتکل SMBv1 را غیرفعال کنید و دسترسی ورودی به پورتهای 445 و 139 را با فایروال ویندوز (Windows Firewall) محدود سازید.
- آموزش کاربران: کاربران را نسبت به ریسک اتصال به سرورهای SMB ناشناخته و لینکهای مخرب که منجر به اتصال خودکار به SMB میشوند، آموزش دهید. تقویت سیاستهای ضد فیشینگ ضروری است.
- ایزولهسازی شبکه: سرورهای SMB را در بخش های ایزوله شبکه قرار دهید و دسترسی عمومی را با فایروال اپلیکیشن وب (WAF) یا VPN محدود سازید.
- نظارت و تشخیص: لاگهای مرتبط با SMB را با Microsoft Defender for Endpoint یا SIEM مانیتور کنید و تلاشهای اتصال مشکوک را شناسایی نمایید.
- محدودسازی منابع: با استفاده از سیاست گروهی (Group Policy) دسترسی به اشتراکهای SMB را فقط محدود به کاربران معتبر کنید.
اجرای این اقدامات، بهویژه بهروزرسانی سریع و آموزش کاربران، ریسک بهرهبرداری از این آسیبپذیری کاهش داده و امنیت اشتراکگذاری فایل در شبکههای ویندوز را بهصورت قابلتوجهی تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم با ارائه یک سرور SMB مخرب یا لینکهای فیشینگ که منجر به اتصال خودکار SMB میشوند، کاربر را وادار به برقراری ارتباط میکند. این نوع ورود کاملاً بدون نیاز به احراز هویت است و فقط به یک تعامل کاربر (UI:R) نیاز دارد. ورود اولیه مبتنی بر سوءاستفاده از مکانیزم File/Share Access ویندوز بوده و مهاجم از همین مسیر نقطه ورودی پایدار میگیرد.
Execution (TA0002)
اجرای کد زمانی رخ میدهد که مهاجم در شرایط رقابتی پیروز شده و ساختار حافظه SMB را در لحظه Double Free بازنویسی میکند. کنترل جریان اجرای برنامه باعث اجرای مستقیم shellcode یا payload مهاجم در راستای RCE میشود. این مرحله کاملاً در سطح سرویس و بدون نیاز به مجوز خاص رخ میدهد.
Privilege Escalation (TA0004)
پس از RCE، مهاجم میتواند از سطح اجرای سرویس SMB استفاده کند که معمولاً با سطح سیستمی (NT AUTHORITY\SYSTEM) اجرا میشود. این باعث یک جهش عمودی قدرتمند در سطح دسترسی و دسترسی کامل به محیط ویندوز قربانی میشود.
Defense Evasion (TA0005)
سوءاستفاده از Race Condition باعث ایجاد رفتارهای غیرقطعی در لاگها و eventهای SMB میشود، که ردگیری حمله را دشوار میکند. بسیاری از ابزارهای EDR نیز این رفتار را بهعنوان خرابی درونسیستمی تفسیر میکنند، نه exploit هدفمند.
Credential Access (TA0006)
مهاجم پس از RCE و دسترسی سطح سیستم میتواند به حافظه LSA، فایلهای SAM و credential store دسترسی یابد و اطلاعات احراز هویت کاربران را استخراج کند. این مرحله معمولاً بخشی از زنجیره بهرهبرداری SMB در پس از نفوذ است.
Discovery (TA0007)
مهاجم پس از کنترل سیستم، شبکه، دامنه، sessionهای SMB، shared resourceها و مسیرهای داخلی Active Directory را شناسایی میکند تا عملیات lateral movement را برنامهریزی کند.
Lateral Movement (TA0008)
با داشتن دسترسی سطح سیستم و احتمالا ًcredentialهای استخراجشده، مهاجم میتواند به سرورهای دیگر، فایلسرورها یا سیستمهای دامنه از طریق SMB، WMI یا PsExec حرکت کند.
Collection (TA0009)
دادههای حساس از share ها، پروفایلها، و پوشههای سازمانی جمعآوری میشود. مهاجم میتواند فایلهای پروژه، اسناد داخلی، credential های cache شده و دادههای AD را بهطور مستقیم برداشت کند.
Exfiltration (TA0010)
تخلیه داده پس از موفقیت RCE امکانپذیر است و مهاجم میتواند فایلها و دادههای حساس را از طریق کانال SMB یا از طریق کانالهای جایگزین مانند HTTP/HTTPS منتقل کند. روش Exfiltration وابسته به ابزار یا اسکریپتی است که مهاجم پس از بهدستآوردن اجرای کد استفاده میکند.
Impact (TA0040)
اجرای کد از راه دور روی یک سرویس هستهای ویندوز به مهاجم اجازه میدهد یکپارچگی، محرمانگی و در دسترسپذیری را همزمان مختل کند. مهاجم میتواند سرویس SMB را از کار بیندازد، دادهها را دستکاری کند، یا حملات destructive مانند file wiping یا ransomware را اجرا کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-50169
- https://www.cvedetails.com/cve/CVE-2025-50169/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50169
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50169
- https://vuldb.com/?id.319620
- https://nvd.nist.gov/vuln/detail/CVE-2025-50169
- https://cwe.mitre.org/data/definitions/362.html
- https://cwe.mitre.org/data/definitions/415.html
