- شناسه CVE-2025-5335 :CVE
- CWE-426 :CWE
- yes :Advisory
- منتشر شده: ژوئن 10, 2025
- به روز شده: آگوست 19, 2025
- امتیاز: 7.8
- نوع حمله: DLL Injection
- اثر گذاری: Code Execution
- حوزه: نرم افزارهای کاربردی
- برند: Autodesk
- محصول: Installer
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری افزایش سطح دسترسی در Autodesk Installer به دلیل استفاده از مسیر جستجوی غیرقابلاعتماد رخ میدهد. مهاجم میتواند با قرار دادن یک فایل باینری مخرب در مسیر مورد استفاده اپلیکیشن، هنگام اجرای Installer دسترسی خود را تا سطح NT AUTHORITY\SYSTEM افزایش دهد و منجر به اجرای کد دلخواه شود.
توضیحات
آسیبپذیری CVE-2025-5335 در اپلیکیشن Autodesk Installer ناشی از استفاده از مسیر جستجوی غیرقابل اعتماد مطابق با CWE-426 است. در این ضعف، اپلیکیشن Installer هنگام بارگذاری فایلهای باینری و وابستگیهای DLL، مسیرهای جستجو را بهدرستی اعتبارسنجی نمیکند و بهجای استفاده از مسیرهای امن و تعریفشده، از مسیرهای پیشفرض یا قابل دستکاری استفاده مینماید.
مهاجم میتواند با قرار دادن فایل باینری مخرب مانند DLL آلوده در مسیری که برنامه جستجو میکند (مانند دایرکتوری فعلی یا مسیرهای محیطی مانند PATH)، کنترل جریان اجرا را هنگام دانلود و اجرای فایل توسط کاربر به دست آورد. این سناریو باعث میشود Installer بهجای فایل قانونی، فایل مخرب را بارگذاری کرده و در نتیجه مهاجم سطح دسترسی خود را تا NT AUTHORITY/SYSTEM (بالاترین سطح دسترسی در ویندوز، معادل سطح root) افزایش دهد و منجر به اجرای کد دلخواه گردد.
مهاجم میتواند با یک اسکریپت ساده یا ابزارهای خودکار، فایل مخرب را در مسیر جستجوی لوکال قرار دهد و تنها کافی است کاربر فایل دانلودشده را اجرا کند. بهرهبرداری نیازمند تعامل محدود کاربر بوده و از طریق یک حمله لوکال، بدون نیاز به هرگونه دسترسی اولیه قابل انجام است.
پیامدهای آسیبپذیری شامل تأثیر بالا بر محرمانگی با افشای دادههای سیستم، یکپارچگی با امکان تغییر فایلها یا تنظیمات و در دسترسپذیری با ایجاد اختلال در عملکرد سیستم است. این آسیبپذیری زمانی ریسک بالایی دارد که کاربران Autodesk Installer را از اینترنت دانلود و اجرا میکنند، زیرا مهاجم میتواند با سوءاستفاده از مسیرهای جستجوی غیرقابلاعتماد، اجرای فایل آلوده را برای Installer امکانپذیر کند. این ضعف با انتشار نسخه 2.15 بهطور کامل پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 2.13 before 2.15 | Installer |
لیست محصولات بروز شده
| Versions | Product |
| 2.15 | Installer |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Autodesk Installer و Autodesk را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 7 | site:.ir “Autodesk Installer” | Autodesk Installer |
| 236,000 | site:.ir “Autodesk” | Autodesk |
نتیجه گیری
این آسیبپذیری با شدت بالا در Autodesk Installer به دلیل مسیر جستجوی غیرقابل اعتماد، امکان افزایش سطح دسترسی به SYSTEM و اجرای کد دلخواه را فراهم می کند و میتواند در سناریوهای دانلود و نصب نرمافزار منجر به کنترل کامل سیستم شود. با توجه به انتشار پچ امنیتی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نمونههای Autodesk Installer را به نسخه 2.15 یا بالاتر بهروزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- اعتبارسنجی مسیرهای جستجو: در محیطهای ویندوز، با استفاده از سیاستهای گروهی (Group Policy) مسیرهای بارگذاری DLL را محدود کرده و مسیرهای غیرضروری موجود در متغیر محیطی PATH را حذف کنید تا مهاجم نتواند فایلهای مخرب را از مسیرهای قابل سوءاستفاده بارگذاری کند.
- اجرای با حداقل دسترسی: اپلیکیشن Installer را با دسترسی کاربر عادی (non-admin) اجرا کنید و از اجرای خودکار فایلهای دانلودشده جلوگیری نمایید.
- استفاده از فایروال و آنتیویروس: از راهکارهای امنیتی اندپوینت مانند Microsoft Defender یا آنتیویروسهای پیشرفته برای شناسایی DLLهای مخرب در مسیرهای جستجو استفاده کنید.
- محدودسازی دانلود: کاربران را آموزش دهید که فقط از منابع رسمی Autodesk اقدام به دانلود کنند و از اجرای فایلهای ناشناخته یا اجرای آنها با Run as administrator خودداری نمایند.
- نظارت و مدیریت لاگ: لاگهای سیستم (Event Viewer) را برای شناسایی تلاشهای بارگذاری DLL از مسیرهای غیرمعمول یا غیراستاندارد بررسی کنید.
- تست امنیتی: با ابزارهایی مانند Process Monitor مسیرهای جستجوی DLL و عملکرد Installer را تحلیل کرده و نقاط ضعف مشابه را شناسایی کنید. سخت سازی در ادامه میتواند بسیار موثر باشد.
- آموزش کاربران و توسعهدهندگان: تیمهای IT و کاربران را درباره ریسک فایلهای دانلودشده از اینترنت و اهمیت اعتبارسنجی مسیرهای اجرایی آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی نسخه و محدودسازی مسیرهای جستجو، ریسک بهرهبرداری از این آسیبپذیری را به میزان قابلتوجهی کاهش داده و امنیت فرآیند نصب و بهروزرسانی محصولات Autodesk را تضمین میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
در این سناریو ورودی مستقیم از بیرون دیده نمیشود و حمله از سطح لوکال آغاز میشود؛ اما اگر فایل Installer از منبع غیررسمی دریافت شود، مهاجم میتواند بسته آلوده را بهعنوان نقطه ورودی به محیط قربانی تزریق کند. این حالت یک مسیر کمکی برای ورود اولیه است و زمینه اجرای فایل Installer بهصورت فریبخورده را فراهم میسازد.
Execution (TA0002)
اجرای کد زمانی رخ میدهد که Autodesk Installer هنگام بارگذاری DLL یا باینری وابسته، بهجای فایل قانونی، نمونه مخرب قرارگرفته در مسیر جستجوی غیرقابلاعتماد را اجرا میکند. این فرآیند کاملاً خودکار و مرتبط با نحوه resolve شدن وابستگیهاست و به مهاجم اجازه میدهد با کاشت یک DLL ساختگی، اجرای کد دلخواه را در سطح سیستم آغاز کند.
Privilege Escalation (TA0004)
هدف اصلی این ضعف، افزایش سطح دسترسی است. مهاجم با سوءاستفاده از untrusted search path میتواند کد خود را در کانتکست Autodesk Installer اجرا کند و سطح دسترسی را تا NT AUTHORITY\SYSTEM ارتقا دهد.
Defense Evasion (TA0005)
بارگذاری DLL از مسیرهای محلی یا PATH به مهاجم کمک میکند تا بدون نیاز به تکنیکهای پیچیده، فایل مخرب خود را در قالب یک فایل ظاهراً عادی جا بزند. چون رفتار Installer قانونی است، بسیاری از راهکارهای امنیتی این فعالیت را benign تشخیص میدهند و بدافزار در سایه “DLL Search Order” پنهان میماند.
Credential Access (TA0006)
پس از کسب SYSTEM، مهاجم میتواند ابزارهای استخراج اطلاعات اعتبارنامه، فایلهای SAM یا LSASS را هدف قرار دهد. این تاکتیک بهطور مستقیم در ضعف ذکر نشده اما بهعنوان پیامد طبیعی ارتقای دسترسی قابل انجام است و مسیر حرکت مهاجم را تقویت میکند.
Discovery (TA0007)
با دسترسی SYSTEM، مهاجم میتواند ساختار فایلها، مسیرهای نصب، سرویسها و سیاستهای امنیتی را شناسایی کند تا بتواند موقعیت DLLهای قابل جایگزینی یا مسیرهای جستجوی دیگر را بیابد.
Lateral Movement (TA0008)
اگر دستگاه قربانی در شبکه سازمانی باشد، مهاجم پس از ارتقای دسترسی میتواند از طریق سرویسها، اسکریپتها و بهاشتراکگذاریهای ویندوز حرکت جانبی انجام دهد. این رفتار بخشی از ضعف نیست اما نتیجه طبیعی SYSTEM-level RCE محسوب میشود.
Collection (TA0009)
پس از اجرای DLL مخرب، مهاجم میتواند فایلهای حساس، تنظیمات نرمافزاری، توکنها و اطلاعات کاربر را جمعآوری کند. این جمعآوری دادهها بهواسطه اجرای کد با سطح SYSTEM و بدون محدودیت اتفاق میافتد.
Exfiltration (TA0010)
دادههای جمعآوریشده میتوانند از طریق کانالهای استاندارد سیستم، HTTP، PowerShell یا ابزارهای داخلی خارج شوند. این تاکتیک وابسته به اکسپلویت اصلی نیست اما از پیامدهای محتمل موفقیت حمله است.
Impact (TA0040)
تأثیر نهایی شامل اجرای کد با سطح SYSTEM، تغییر فایلها و تنظیمات، دستکاری سرویسها، نصب دربپشتی، ایجاد اختلال در سیستم، و فراهمشدن مسیر برای کنترل کامل دستگاه است. این ضعف به مهاجم اجازه میدهد integrity، availability و confidentiality را همزمان مختل کند و یک breach کامل ایجاد کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-5335
- https://www.cvedetails.com/cve/CVE-2025-5335/
- https://www.autodesk.com/trust/security-advisories/adsk-sa-2025-0010
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-5335
- https://vuldb.com/?id.311873
- https://nvd.nist.gov/vuln/detail/CVE-2025-5335
- https://cwe.mitre.org/data/definitions/426.html
