خانه » CVE-2025-50171
هشدار‌های سایبری

CVE-2025-50171

Remote Desktop Spoofing Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 279 بازدید
هشدار سایبری CVE-2025-50171
  • شناسه CVE-2025-50171 :CVE
  • CWE-862 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 12, 2025
  • به روز شده: نوامبر 10, 2025
  • امتیاز: 9.1
  • نوع حمله: Authorization Bypass
  • اثر گذاری: Spoofing
  • حوزه: سرویس‌های VPN و RDP
  • برند: Microsoft
  • محصول: Windows
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری جعل هویت (Spoofing) در کامپوننت Remote Desktop Server (سرور دستکاپ از راه دور) ویندوز ناشی از عدم مجوزدهی مناسب است. مهاجم از راه دور و بدون نیاز به احراز هویت می‌تواند هویت جعلی ایجاد کرده و کاربران یا سیستم را فریب دهد.

توضیحات

آسیب‌پذیری CVE-2025-50171 در کامپوننت Remote Desktop Server ( بخشی از سرویس RDP یا Remote Desktop Protocol برای دسترسی گرافیکی به سیستم‌های ویندوز از راه دور) ویندوز ناشی از عدم مجوزدهی مناسب مطابق با CWE-862 است. این ضعف اجازه می‌دهد مهاجم بدون داشتن مجوز لازم، از راه دور هویت جعلی (Spoofing) ایجاد کند و به‌عنوان کاربر یا سرور معتبر ظاهر شود.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، به‌صورت از راه دور، بدون تعامل کاربر و بدون نیاز به دسترسی اضافی، بسته‌های دستکاری‌شده پروتکل RDP را به سرور ارسال کند و هویت جعلی ایجاد نماید. این حمله می‌تواند شامل جعل گواهی‌نامه‌های سرور، تغییر مسیر اتصال یا نمایش اطلاعات نادرست به کلاینت باشد.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های حساس مانند اعتبارنامه‌ها یا محتوای نشست و یکپارچگی با دستکاری اطلاعات منتقل‌شده است. ریسک این ضعف در محیط‌هایی با اتصال مستقیم RDP به اینترنت یا استفاده از گواهی‌های خود امضا (Self‑Signed Certificates) بسیار بیشتر است. این آسیب‌پذیری با انتشار به‌روزرسانی‌های امنیتی در آگوست 2025 به‌طور کامل پچ شده است.

CVSS

Score Severity Version Vector String
9.1 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 10.0.20348.0 before 10.0.20348.4052 x64-based Systems Windows Server 2022
affected from 10.0.19044.0 before 10.0.19044.6216 32-bit Systems, ARM64-based Systems, x64-based Systems Windows 10 Version 21H2
affected from 10.0.22621.0 before 10.0.22621.5768 ARM64-based Systems, x64-based Systems Windows 11 version 22H2
affected from 10.0.19045.0 before 10.0.19045.6216 x64-based Systems, ARM64-based Systems, 32-bit Systems Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.4946 x64-based Systems Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.5768 ARM64-based Systems Windows 11 version 22H3
affected from 10.0.22631.0 before 10.0.22631.5768 x64-based Systems Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.1791 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.4946 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.4946 x64-based Systems Windows Server 2025

لیست محصولات بروز شده

Versions Platforms Product
10.0.20348.4052 x64-based Systems Windows Server 2022
10.0.19044.6216 32-bit Systems, ARM64-based Systems, x64-based Systems Windows 10 Version 21H2
10.0.22621.5768 ARM64-based Systems, x64-based Systems Windows 11 version 22H2
10.0.19045.6216 x64-based Systems, ARM64-based Systems, 32-bit Systems Windows 10 Version 22H2
10.0.26100.4946 x64-based Systems Windows Server 2025 (Server Core installation)
10.0.22631.5768 ARM64-based Systems Windows 11 version 22H3
10.0.22631.5768 x64-based Systems Windows 11 Version 23H2
10.0.25398.1791 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.4946 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
10.0.26100.4946 x64-based Systems Windows Server 2025

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که کامپوننت Remote Desktop Server و محصولات Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
281 site:.ir “Remote Desktop Server” Remote Desktop Server
278,000 site:.ir “Windows Server” Windows Server
986,000 site:.ir “Windows 10” Windows 10
492,000 site:.ir “Windows 11” Windows 11

نتیجه گیری

این آسیب‌پذیری بحرانی در Remote Desktop Server ویندوز، از طریق عدم مجوزدهی مناسب امکان جعل هویت و افشای اطلاعات حساس را فراهم می کند و می‌تواند منجر به دسترسی غیرمجاز یا دستکاری داده‌ها شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی فوری: تمام سیستم‌های ویندوز را با پچ های امنیتی آگوست 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • غیرفعال‌سازی RDP در صورت عدم نیاز: سرویس Remote Desktop را غیرفعال کنید یا دسترسی به پورت 3389 را با فایروال ویندوز (Windows Firewall) مسدود نمایید.
  • استفاده از احراز هویت قوی: احراز هویت شبکه‌ای (NLA) را اجباری کنید و از گواهی‌نامه‌های معتبر (Valid Certificates) به‌جای خودامضا استفاده نمایید.
  • ایزوله‌سازی شبکه: سرورهای Remote Desktop را در بخش های شبکه ای ایزوله قرار دهید و دسترسی عمومی را با فایروال اپلیکیشن وب (WAF) یا VPN محدود سازید.
  • نظارت و تشخیص: لاگ‌های RDP را با Microsoft Defender for Endpoint یا SIEM مانیتور کنید و تلاش‌های جعل هویت را شناسایی نمایید.
  • آموزش کاربران: تیم‌های امنیت را درباره ریسک‌های جعل هویت در Remote Desktop Server و ضرورت استفاده از NLA آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع سیستم ها و استفاده از گواهی های معتبر، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت اتصالات دسکتاپ از راه دور را به‌صورت قابل‌توجهی تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از طریق اتصال RDP و با ارسال بسته‌های دستکاری‌شده در فاز شروع ارتباط (Handshake) بدون نیاز به احراز هویت، مسیر ارتباطی را جعل می‌کند و به‌عنوان موجودیت معتبر در جلسه معرفی می‌شود. این نقطه ورود به‌ویژه در محیط‌هایی که RDP مستقیم روی اینترنت باز است، بسیار در معرض سوءاستفاده است.

Credential Access (TA0006)

جعل هویت می‌تواند منجر به استخراج اطلاعات نشست، نمایش داده‌های حساس یا دسترسی به توکن‌ها و اعتبارنامه‌های عبوری شود. مهاجم بدون عبور از مکانیزم‌های احراز هویت استاندارد می‌تواند به داده‌هایی دسترسی یابد که معمولاً فقط برای کاربران معتبر قابل مشاهده است.

Collection (TA0009)

مهاجم قادر است جریان RDP شامل محتوا، صفحه‌نمایش، ورودی‌ها و داده‌های عبوری را مشاهده یا دستکاری کند. این اطلاعات می‌تواند شامل داده‌های حساس، فایل‌ها یا credential prompts باشد.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌های مشاهده‌شده یا نشست را از طریق کانال RDP یا کانال‌های استاندارد HTTP/HTTPS خارج کند. این خروج داده در قالب اسکرین‌دیتا، توکن‌ها، یا اطلاعات نشست انجام می‌شود.

Defense Evasion (TA0005)

جعل مسیر ارتباطی باعث می‌شود بسیاری از کنترل‌های احراز هویت و لاگ‌های پایش از دید خارج شوند. مهاجم در ظاهر یک کاربر مجاز دیده می‌شود و بسیاری از کنترل‌ها دور زده می‌شوند.

Impact (TA0040)

تأثیر شامل افشای کامل داده‌های نشست، دستکاری جریان ارتباطی، نمایش اطلاعات غلط به کاربر و در برخی سناریوها hijack کامل session است. این تأثیرات به‌شدت محرمانگی و یکپارچگی را تهدید می‌کنند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-50171
  2. https://www.cvedetails.com/cve/CVE-2025-50171/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50171
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50171
  5. https://vuldb.com/?id.319622
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-50171
  7. https://cwe.mitre.org/data/definitions/862.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.