خانه » CVE-2025-50176
هشدار‌های سایبری

CVE-2025-50176

DirectX Graphics Kernel Remote Code Execution Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 290 بازدید
هشدار سایبری CVE-2025-50176
  • شناسه CVE-2025-50176 :CVE
  • CWE-843, CWE-122 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 12, 2025
  • به روز شده: نوامبر 10, 2025
  • امتیاز: 7.8
  • نوع حمله: Heap-based buffer overflow
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Microsoft
  • محصول: Windows
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری سردرگمی نوع (Type Confusion) همراه با سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) در کامپوننت DirectX Graphics Kernel شناسایی شده است. این ضعف امنیتی به یک مهاجم احراز هویت‌شده اجازه می‌دهد کد دلخواه خود را به‌صورت لوکال روی سیستم اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-50176 در کامپوننت DirectX Graphics Kernel (فایل ‎dxgkrnl.sys، کرنل مدیریت گرافیک ویندوز) ناشی از سردرگمی نوع مطابق با CWE‑843 است که همراه با سرریز بافر مبتنی بر هیپ مطابق با CWE‑122 رخ می‌دهد. ترکیب این دو ضعف باعث می‌شود مسیرهای داخلی کرنل هنگام پردازش آبجکت‌های گرافیکی، یک ساختار را به‌عنوان نوعی دیگر تفسیر کنند. در نتیجه داده‌هایی خارج از محدوده در هیپ کرنل نوشته شده و در نهایت کنترل جریان اجرای کرنل به مهاجم منتقل می‌شود و امکان اجرای کد دلخواه در سطح کرنل (ACE) فراهم می‌گردد.

در سناریوی واقعی حمله، مهاجم با داشتن دسترسی لوکال و تنها مجوز یک کاربر عادی می‌تواند از طریق APIهای گرافیکی DirectX مانند Direct3D یا DXGI داده‌هایی را به کرنل ارسال کند که شامل اشاره‌گرهای ناسازگار با نوع مورد انتظار هستند. کرنل در فرآیند مدیریت آبجکت‌های گرافیکی، این داده‌ها را به‌عنوان نوعی دیگر تفسیر می‌کند و همین عملکرد باعث نوشتن داده خارج از محدوده در هیپ کرنل می‌شود. این شرایط در نهایت اجازه می‌دهد مهاجم مسیر اجرای کرنل را کنترل کرده و کد دلخواه خود را اجرا کند.

بهره‌برداری از این آسیب‌پذیری کاملاً لوکال است؛ یعنی مهاجم یا قربانی باید کد مخرب را روی همان سیستم اجرا کند. با این حال، عنوان اجرای کد از راه دور (RCE) در مستندات مایکروسافت به این معنا است که مهاجم می‌تواند از راه دور، مثلاً از طریق فیشینگ، بدافزار یا دسترسی از راه دور به سیستم (SSH/RDP)، کاربر لوکال را فریب دهد تا کد مخرب را اجرا کند، اما خود بهره‌برداری به صورت لوکال انجام می‌شود.

این آسیب‌پذیری بدون نیاز به دسترسی ادمین و تنها با یک حساب کاربری عادی قابل بهره‌برداری است و همین موضوع آن را به یک بردار جذاب برای حملات زنجیره‌ای (Exploit Chain) تبدیل می‌کند. پیامدهای آسیب پذیری شامل محرمانگی با افشای حافظه کرنل و ساختارهای حساس، یکپارچگی با امکان تزریق درایور مخرب یا تغییر تنظیمات سیستم و در دسترس پذیری با دور زدن مکانیزم‌های امنیتی و در نهایت کنترل کامل سیستم است. مایکروسافت این آسیب‌پذیری را در به‌روزرسانی‌های امنیتی آگوست 2025 به‌طور کامل پچ کرده است. اصلاحات شامل رفع ضعف در مدیریت نوع در ‎dxgkrnl.sys و افزودن اعتبارسنجی‌های اضافی در تخصیص و مدیریت حافظه هیپ است. نصب فوری این پچ‌ها برای جلوگیری از بهره‌برداری توصیه می‌شود.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 10.0.20348.0 before 10.0.20348.4052 x64-based Systems Windows Server 2022
affected from 10.0.22621.0 before 10.0.22621.5768 ARM64-based Systems, x64-based Systems Windows 11 version 22H2
affected from 10.0.26100.0 before 10.0.26100.4946 x64-based Systems Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.5768 ARM64-based Systems Windows 11 version 22H3
affected from 10.0.22631.0 before 10.0.22631.5768 x64-based Systems Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.1791 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.4946 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.4946 x64-based Systems Windows Server 2025

لیست محصولات بروز شده

Versions Platforms Product
10.0.20348.4052 x64-based Systems Windows Server 2022
10.0.22621.5768 ARM64-based Systems, x64-based Systems Windows 11 version 22H2
10.0.26100.4946 x64-based Systems Windows Server 2025 (Server Core installation)
10.0.22631.5768 ARM64-based Systems Windows 11 version 22H3
10.0.22631.5768 x64-based Systems Windows 11 Version 23H2
10.0.25398.1791 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.4946 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
10.0.26100.4946 x64-based Systems Windows Server 2025

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که کامپوننت DirectX Graphics Kernel و محصولات Windows Server و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
44 site:.ir “DirectX Graphics Kernel” DirectX Graphics Kernel
278,000 site:.ir “Windows Server” Windows Server
492,000 site:.ir “Windows 11” Windows 11

نتیجه گیری

این آسیب‌پذیری با شدت بالا در DirectX Graphics Kernel، با ترکیب دو ضعف سردرگمی نوع و سرریز بافر مبتنی بر هیپ، امکان اجرای کد در سطح کرنل را برای مهاجمان لوکال با مجوز پایین فراهم می‌کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

  • اعمال پچ فوری: تمام سیستم‌ها را با نصب پچ های امنیتی آگوست 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • محدودسازی دسترسی لوکال: حساب‌های کاربری را با اصل حداقل دسترسی (Least Privilege) مدیریت کنید؛ از اجرای برنامه‌های ناشناس توسط کاربران عادی جلوگیری نمایید.
  • تقویت امنیت کرنل: مکانیزم‌های HVCI، Credential Guard و VBS را فعال کنید تا اجرای کد کرنل مخرب دشوارتر شود.
  • نظارت بر درایورها: با ابزارهایی مانند Microsoft Defender for Endpoint یا Sysmon، بارگذاری درایورهای غیرمجاز (مانند sys دستکاری‌شده) را مانیتور کنید.
  • تست امنیتی: از ابزارهای تحلیل درایور مانند WinDbg یا exe برای شناسایی عملکردهای غیرعادی در dxgkrnl.sys در محیط تست استفاده کنید.
  • آموزش کاربران: کاربران را در مورد ریسک اجرای فایل‌های ناشناخته (EXE DLL,) آگاه سازید و از سیاست‌های AppLocker یا WDAC برای محدودسازی اجرای کد استفاده کنید.

اجرای این توصیه‌ها، به‌ویژه به‌روزرسانی فوری و تقویت امنیت کرنل، از بهره‌برداری در زنجیره‌های حمله جلوگیری کرده و پایداری سیستم‌های ویندوزی را در برابر تهدیدات لوکال علیه کرنل تضمین می‌نماید.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)

مهاجم پس از دستیابی به اجرای کد در سطح کاربری، یک payload مخرب را روی سیستم قربانی اجرا می‌کند. اجرای اولیه معمولاً از طریق فایل اجرایی یا DLL لودشده صورت می‌گیرد و نقطه شروع زنجیره سوءاستفاده برای رسیدن به کرنل است.

Privilege Escalation (TA0004)

نوع آسیب‌پذیری Type Confusion / Memory Corruption در dxgkrnl.sys امکان ارتقای سطح دسترسی از کاربر معمولی به SYSTEM یا Kernel-mode را فراهم می‌کند. مهاجم با ساختاردهی یک آبجکت مخصوص و تحریک مسیر اجرای آسیب‌پذیر، جریان کنترل را در کرنل تصاحب می‌کند.

Defense Evasion (TA0005)

با اجرای کد در سطح کرنل، مهاجم می‌تواند مکانیزم‌های امنیتی مانند AV، EDR یا سیاست‌های WDAC/AppLocker را دور بزند؛ همچنین امکان غیرفعال‌سازی لاگ‌ها، مخفی‌سازی پردازه‌ها یا دستکاری حافظه فراهم می‌شود.

Credential Access (TA0006)

پس از رسیدن به SYSTEM، مهاجم می‌تواند حافظه LSASS را مستقیماً بخواند یا ابزارهای Memory Dump را اجرا کند. این سطح دسترسی امکان استخراج گذرواژه‌ها، هش‌ها یا ticket ها را فراهم می‌کند.

Lateral Movement (TA0008)

دریافت SYSTEM روی یک نود به مهاجم اجازه می‌دهد ابزارهای جانبی مثل PsExec یا WMI را با دسترسی کامل اجرا کند و به سایر سیستم‌ها در شبکه منتقل شود. این مسیر نتیجه LPE است و مکانیسم مستقلی در خود آسیب‌پذیری ندارد.

Collection (TA0009)

پس از دسترسی بالا، مهاجم می‌تواند داده‌های محلی، فایل‌های سیستمی، کش‌ها، اسناد و اطلاعات عملیاتی را جمع‌آوری کند. سطح کرنل محدودیت‌های عمومی را حذف می‌کند.

Exfiltration (TA0010)

مهاجم پس از گرفتن SYSTEM می‌تواند داده‌های جمع‌آوری شده را با کانال‌هایی مانند HTTP/HTTPS، SMB یا FTP به بیرون منتقل کند. این مرحله مستقل از مکانیسم آسیب‌پذیری است و صرفاً به‌دلیل اجرای کد با سطح بالا امکان‌پذیر می‌شود.

Impact (TA0040)

اجرای کد در سطح کرنل می‌تواند منجر به توقف سرویس‌ها، تغییر فایل‌های سیستمی، غیرفعال‌سازی امنیت و تخریب داده یا سرویس شود. کنترل کامل سیستم در اختیار مهاجم قرار می‌گیرد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-50176
  2. https://www.cvedetails.com/cve/CVE-2025-50176/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50176
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50176
  5. https://vuldb.com/?id.319625
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-50176
  7. https://cwe.mitre.org/data/definitions/843.html
  8. https://cwe.mitre.org/data/definitions/122.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.