CVE-2025-50177

چکیده

یک آسیب‌پذیری از نوع استفاده پس از آزادسازی (Use After Free) همراه با شرایط رقابتی (Race Condition) در سرویس Microsoft Message Queuing (MSMQ) شناسایی شده است. این ضعف امنیتی به مهاجم ناشناس اجازه می‌دهد با ارسال مجموعه‌ای از بسته‌های مخرب MSMQ از طریق پروتکل HTTP، کد دلخواه خود را از راه دور روی سرور هدف اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-50177 در سرویس Microsoft Message Queuing (MSMQ) ناشی از ضعف استفاده پس از آزادسازی مطابق با CWE-416 همراه با شرایط رقابتی مطابق با CWE-362 است. MSMQ یک سیستم صف پیام (Message Queue) داخلی در ویندوز برای برقراری ارتباط ناهمگام بین برنامه‌ها است و از پروتکل‌های مختلفی از جمله HTTP پشتیبانی می‌کند.

مهاجم برای سوءاستفاده باید مجموعه‌ای از بسته‌های خاص MSMQ را با سرعت و ترتیب بسیار دقیق (rapid sequence) از طریق HTTP به سرور هدف ارسال کند. این بسته‌ها با دستکاری ساختار پیام، باعث می‌شوند یک اشاره‌گر آزادشده (freed pointer) مجدداً مورد استفاده قرار گیرد و در جریان رقابت بین رشته‌ها (threads)، اجرای برنامه به سمت کد مهاجم هدایت شود. نتیجه نهایی، اجرای کد دلخواه از راه دور (RCE) در سطح سیستم‌عامل سرور است.

بهره‌برداری موفق نیازمند موفقیت مهاجم در یک شرایط رقابتی زمانی است؛ یعنی لحظه ارسال بسته‌ها باید دقیقاً با وضعیت داخلی سرویس MSMQ هماهنگ شود. همین موضوع باعث می‌شود بهره‌برداری خودکار در مقیاس وسیع دشوار باشد، اما در محیط‌های کنترل‌شده و با ابزارهای دقیق توسط پژوهشگران قابل بازتولید است.

سرویس MSMQ معمولاً در زیرساخت‌های سازمانی برای یکپارچه‌سازی سرویس‌ها، مثلاً تبادل پیام بین چند سرویس کاربردی استفاده می‌شود و در بسیاری از سرورها با دسترسی شبکه فعال است. اگر MSMQ از طریق HTTP (معمولاً پورت‌های 1801 یا 2103) به شبکه داخلی یا اینترنت دسترسی داشته باشد، در معرض یک تهدید جدی امنیتی قرار می‌گیرد. مهاجم برای اجرای موفق حمله به ابزارهای سفارشی جهت تولید بسته‌های MSMQ با زمان‌بندی دقیق نیاز دارد (برای مثال اسکریپت‌های Python با کتابخانه‌های اختصاصی یا ابزارهای فازینگ سفارشی) و معمولاً باید چندین بار تلاش کند تا در شرایط رقابتی پیروز شود. پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های حساس در حافظه سیستم، یکپارچگی با تزریق کد مخرب و کنترل کامل سرور و در دسترس‌پذیری اختلال در سرویس‌های وابسته به MSMQ است. این آسیب‌پذیری با انتشار به‌روزرسانی‌های امنیتی ماه آگوست 2025 به‌طور کامل پچ شده است. مایکروسافت به‌طور اکید توصیه می‌کند فوراً پچ‌ها نصب شوند، به‌ویژه در سرورهایی که MSMQ فعال بوده و از طریق شبکه قابل دسترسی است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که کامپوننت Microsoft Message Queuing و محصولات Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Microsoft Message Queuing، امکان اجرای کد از راه دور را از طریق بهره‌برداری از استفاده پس از آزادسازی و شرایط رقابتی فراهم می‌کند و سرورهای ویندوز در معرض ریسک جدی قرار می‌دهد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• اعمال پچ امنیتی: تمام سیستم‌های ویندوز را با نصب پچ های امنیتی آگوست 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند..
• غیرفعال‌سازی MSMQ در صورت عدم نیاز: اگر سرویس صف پیام (MSMQ) استفاده نمی‌شود، آن را از طریق Turn Windows features on or off (فعال یا غیرفعال کردن ویژگی‌های ویندوز) غیرفعال کنید یا با دستور dism /online /disable-feature /featurename:MSMQ-Server حذف نمایید.
• محدودسازی دسترسی شبکه: پورت‌های MSMQ شامل TCP 1801، 2103، 2105 و 3527 را با استفاده از فایروال ویندوز (Windows Firewall) یا فایروال اپلیکیشن وب (WAF) مسدود کنید و فقط به آدرس‌های IP معتبر اجازه دسترسی دهید.
• ایزوله‌سازی سرورها: سرورهای MSMQ را در شبکه‌های جداگانه مانند DMZ یا VLAN ایزوله قرار دهید و از اصل حداقل دسترسی (Least Privilege) پیروی کنید.
• نظارت و تشخیص: لاگ‌های MSMQ را با ابزارهای سیستم مدیریت اطلاعات و رویداد امنیتی (SIEM) مانند Microsoft Sentinel مانیتور کنید؛ به دنبال الگوهای ارسال بسته‌های متوالی یا خطاهای استفاده پس از آزادسازی باشید.
• تست امنیتی: از ابزارهای فازینگ شبکه (Network Fuzzing) مانند Boofuzz برای شبیه‌سازی شرایط رقابتی در محیط تست استفاده کنید و مقاومت پچ‌ها را تأیید نمایید.
• آموزش و آگاهی: تیم‌های امنیتی و مدیران سیستم را در مورد ریسک‌های MSMQ و ضرورت غیرفعال‌سازی سرویس‌های غیرضروری آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری و غیرفعال‌سازی MSMQ در سیستم‌های غیرضروری، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل می‌رساند و از وقوع اجرای کد از راه دور در زیرساخت‌های ویندوزی جلوگیری می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از طریق ارسال بسته‌های دستکاری‌شده MSMQ روی پورت‌های در معرض اینترنت (مانند 1801 یا 2103) نقطه ورود ایجاد می‌کند؛ این ترافیک مستقیماً به سرویس MSMQ می‌رسد و نیاز به تعامل کاربر یا احراز هویت ندارد.

Execution (TA0002)

اجرای کد از طریق Use-After-Free و Race Condition انجام می‌شود؛ مهاجم با برهم‌زدن زمان‌بندی داخلی سرویس MSMQ باعث استفاده مجدد یک اشاره‌گر آزادشده شده و جریان کنترل را به سمت کد دلخواه هدایت می‌کند. این اجرا بدون نیاز به سطح دسترسی محلی و کاملاً ریموت انجام می‌شود.

Privilege Escalation (TA0004)

در صورت اجرای سرویس MSMQ با سطح دسترسی Local System یا سرویس‌های مشابه، اجرای کد مهاجم نیز در همان سطح تولید می‌شود؛ بنابراین منجر به ارتقای سطح دسترسی کامل در سرور می‌گردد.

Defense Evasion (TA0005)

بسته‌های MSMQ معمولاً در شبکه سازمانی رایج هستند و ترافیک HTTP آن‌ها ممکن است در لاگ‌ها نرمال به نظر برسد؛ مهاجم با ارسال سریع و دقیق بسته‌ها در شرایط رقابتی می‌تواند از بسیاری از تشخیص‌های رفتاری عبور کند.

Credential Access (TA0006)

با دسترسی سطح سیستم، مهاجم می‌تواند حافظه فرآیند یا فایل‌های سیستمی را برای استخراج توکن‌ها، کلیدها یا اطلاعات لاگین سرویس‌ها بررسی کند؛ اگرچه این اقدام جزء خود آسیب‌پذیری نیست ولی پیامد سطح دسترسی System است.

Discovery (TA0007)

پس از اجرای موفق، مهاجم می‌تواند محیط شبکه، سرویس‌ها و صف‌های پیام وابسته را اسکن کرده و مسیرهای بعدی بهره‌برداری را شناسایی کند.

Lateral Movement (TA0008)

اجرای کد با سطح System می‌تواند به استخراج دسترسی سرویس‌ها یا ارسال پیام‌های مخرب به سایر سرویس‌های صف وابسته منجر شود؛ این جریان می‌تواند حرکت جانبی از طریق سرویس‌های یکپارچه MSMQ ایجاد کند.

Exfiltration (TA0010)

پس از دستیابی به اجرای کد از راه دور، مهاجم می‌تواند با اسکریپت‌های سفارشی اقدام به استخراج فایل‌ها، داده‌های سرویس‌های در حال اجرا یا پیام‌های ذخیره‌شده در سیستم کند و خروجی را از طریق کانال‌های استاندارد شبکه مانند HTTP/HTTPS یا SMB به مقصد خود ارسال نماید. این مرحله نتیجه مستقیم RCE است و مکانیزم مستقل در MSMQ ندارد.

Impact (TA0040)

اجرای کد با سطح System می‌تواند منجر به توقف سرویس‌ها، تزریق پیام‌های مخرب در صف‌ها، اجرای بدافزار، پاک‌کردن داده‌ها، یا ایجاد اختلال کامل در سرویس‌های وابسته شود؛ این آسیب‌پذیری یک RCE کامل و بحرانی است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-50177
2. https://www.cvedetails.com/cve/CVE-2025-50177/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50177
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50177
5. https://vuldb.com/?id.319626
6. https://nvd.nist.gov/vuln/detail/CVE-2025-50177
7. https://cwe.mitre.org/data/definitions/416.html
8. https://cwe.mitre.org/data/definitions/362.html