CVE-2025-54115

چکیده

آسیب‌پذیری افزایش سطح دسترسی در Windows Hyper-V به دلیل شرایط رقابتی (Race Condition) ناشی از همگام‌سازی نادرست منابع مشترک رخ می‌دهد. مهاجم لوکال و احراز هویت شده می‌تواند با موفقیت در شرایط رقابتی، دسترسی خود را به سطح SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-54115 در Windows Hyper-V (کامپوننت مجازی سازی ویندوز) ناشی از اجرای همزمان با استفاده از منابع مشترک و همگام‌سازی نادرست مطابق با CWE-362 است. در این ضعف، Hyper-V هنگام دسترسی به منابع مشترک بین فرآیندهای میزبان و مهمان (مانند حافظه یا تنظیمات ماشین مجازی)، مکانیزم قفل‌گذاری (Locking) مناسب انجام نمی‌دهد و امکان ایجاد شرایط رقابتی بین مهاجم و سیستم را فراهم می‌کند.

مهاجم لوکال و احراز هویت شده با دسترسی پایین می‌تواند با اجرای همزمان چندین عملیات (مانند ایجاد و توقف ماشین مجازی یا تغییر تنظیمات)، در شرایط رقابتی پیروز شده و کنترل جریان اجرا را به دست آورد. این حمله منجر به افزایش سطح دسترسی به SYSTEM می‌شود و امکان اجرای کد دلخواه در سطح کرنل را فراهم می‌کند.

به عبارت دیگر Hyper‑V در برخی مسیرهای دسترسی به منابع مشترک بین Host و Guest مثل حافظه اشتراکی، ساخت و توقف VM یا تغییر تنظیمات از مکانیزم‌های همگام‌سازی مناسب استفاده نمی‌کند و عملیات را به‌صورت کامل اتمیک اجرا نمیکند. در نتیجه، هنگام اجرای همزمان چند Thread، وضعیت داخلی Hyper‑V وارد حالت‌های ناپایدار می‌شود؛ جایی که چک‌های منطقی قبل از Lock و بعد از آن هماهنگ نیستند و برخی مسیرها اصلاً Lock مناسب ندارند. مهاجمِ لوکالِ احراز هویت‌شده با سطح دسترسی پایین می‌تواند با ارسال عملیات موازی و زمان‌بندی‌شده، در این Race Condition پیروز شود و Execution Flow را به مسیری ببرد که عملیات سطح‌بالا با دسترسی SYSTEM اجرا شود.

بهره برداری از این ضعف نیازمند دسترسی اولیه پایین و مهارت در زمان بندی دقیق عملیات است. پیامدهای آسیب‌پذیری شامل تاثیر کامل بر محرمانگی، یکپارچگی و در دسترس پذیری است که منجر به کنترل کامل سیستم میزبان Hyper-V، دسترسی به تمام ماشین‌های مجازی، افشای داده‌های حساس، تغییر تنظیمات امنیتی و اختلال در سرویس‌های مجازی‌سازی می شود. این ضعف تنها در سیستم‌هایی با Hyper-V فعال و نسخه‌های آسیب‌پذیر فعال می‌شود. اسکریپت‌های تشخیص و کاهش ریسک برای این آسیب‌پذیری منتشر شده است که به سازمان‌ها امکان می‌دهد سطح تهدید را ارزیابی و کنترل کنند. اسکریپت‌های تشخیص به‌صورت خودکار سیستم را بررسی می‌کنند تا نسخه‌های آسیب‌پذیر ویندوز و وضعیت نصب و فعال بودن Hyper‑V شناسایی شود، سرویس‌های حیاتی مانند vmms (Hyper‑V Virtual Machine Management) و vmcompute (Hyper‑V Host Compute Service) را بررسی کرده و ماشین‌های مجازی پیکربندی‌شده را فهرست می‌کنند. این اسکریپت‌ها همچنین ریسک بالقوه ناشی از شرایط رقابتی را ارزیابی کرده و نشان می‌دهند که آیا سیستم به نسخه‌های آسیب‌پذیر تعلق دارد یا خیر.

اسکریپت‌های کاهش ریسک به‌منظور محافظت موقت تا زمان انتشار پچ رسمی عمل می‌کنند و شامل غیرفعال‌سازی سرویس‌های حیاتی Hyper‑V و ویژگی‌های مرتبط برای جلوگیری از بهره‌برداری، اعمال محدودیت‌های مدیریتی و بررسی مجوزهای ادمین برای اطمینان از اجرای صحیح تغییرات سیستم هستند. این اسکریپت‌ها همچنین نیاز به راه‌اندازی مجدد سیستم پس از اعمال تغییرات را تشخیص داده و اطلاع‌رسانی می‌کنند. با نصب پچ های رسمی سپتامبر 2025 و اجرای این اسکریپت‌ها، ریسک بهره‌برداری به‌طور چشمگیری کاهش یافته و امنیت سیستم‌های Hyper‑V افزایش می‌یابد.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Hyper-V و محصولات Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Windows Hyper-V، امکان افزایش دسترسی به SYSTEM را از طریق شرایط رقابتی در منابع مشترک فراهم می کند و می‌تواند منجر به کنترل کامل محیط مجازی‌سازی شود. با توجه به انتشار پچ‌های امنیتی سپتامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های دارای Hyper-V را از طریق Windows Update یا WSUS به آخرین بیلدهای پچ‌شده به‌روزرسانی کنید. به روزرسانی، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• غیرفعال‌سازی موقت Hyper-V: در صورت عدم امکان پچ فوری، از اسکریپت کاهش Vicarius برای توقف سرویس‌های vmms و vmcompute و غیرفعال‌سازی ویژگی Microsoft-Hyper-V-All استفاده کنید. لازم به ذکر است این اقدام نیاز به راه اندازی مجدد سیستم دارد.
• محدودسازی دسترسی لوکال: حساب‌های کاربری را با حداقل دسترسی (Standard User) اجرا کنید و از اجرای Hyper-V Management Tools با دسترسی بالا جلوگیری نمایید.
• نظارت بر فرآیندها: با استفاده از ابزارهایی مانند Microsoft Sysmon یا Windows Event Forwarding رویدادهای Hyper-V را مانیتور کرده و تلاش‌های ناشی از شرایط رقابتی را شناسایی کنید.
• ایزوله‌سازی محیط: ماشین‌های Hyper-V را در زیرساخت‌های ایزوله (مانند Azure با Shielded VMs) اجرا کنید و از فایروال میزبان (Host Firewall) برای محدود کردن ارتباطات لوکال استفاده نمایید.
• تست امنیتی: محیط را با اسکریپت تشخیص Vicarius اسکن کنید و از ابزارهای Fuzzing مانند WinAFL برای شبیه‌سازی شرایط رقابتی بهره ببرید.
• آموزش مدیران سیستم: تیم‌های IT را درباره ریسک شرایط رقابتی در Hyper-V و اهمیت به‌روزرسانی‌های منظم مایکروسافت آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و نظارت مستمر، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت زیرساخت مجازی‌سازی Hyper-V را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)
اجرای کد از طریق Race Condition در کامپوننت‌های مدیریت VM رخ می‌دهد؛ مهاجم با اجرای همزمان Threadها و عملیات متوالی روی VM Worker Process یا سرویس‌های Hyper‑V، جریان اجرا را به مسیرهای بدون قفل‌گذاری هدایت می‌کند و باعث اجرای عملیات سطح‌بالا با دسترسی SYSTEM می‌شود.

Privilege Escalation (TA0004)
افزایش سطح دسترسی از کاربر عادی به SYSTEM از مسیر Synchronization Failure در ساختارهای اشتراکی Hyper‑V انجام می‌شود. مهاجم با سوءاستفاده از Race Condition می‌تواند عملیات مدیریتی Host-Level را به‌عنوان خود اجرا کند.

Defense Evasion (TA0005)
چون عملیات در سطح سرویس‌های Hyper‑V انجام می‌شود، رفتار حمله شبیه فعالیت‌های عادی مدیریت ماشین مجازی است و به‌سادگی از Logging‌های سطح سیستم عبور می‌کند.

Discovery (TA0007)
مهاجم پس از EoP می‌تواند ساختار ماشین‌های مجازی، وضعیت VMBus، Shared Memory و کانفیگ‌های Hyper‑V را شناسایی کند. این مرحله برای انتخاب بهترین نقطه جهت دسترسی به ماشین‌های دیگر ضروری است.

Lateral Movement (TA0008)
دسترسی به Host باعث می‌شود مهاجم بتواند به سایر Guestها حرکت جانبی انجام دهد؛ از جمله Mount کردن VHD/VHDX، دسترسی به حافظه VM یا Inject کردن کد در ماشین‌های دیگر

Collection (TA0009)
پس از کنترل Host، مهاجم می‌تواند داده‌های ماشین‌های مجازی، فایل‌های VHD، Snapshotها و حافظه VM را جمع‌آوری کند.

Exfiltration (TA0010)
با دسترسی کامل به Host، داده‌ها می‌توانند از کانال‌های استاندارد شبکه خارج شوند؛ این مرحله خارج از Hyper‑V است اما پیامد مستقیم EoP محسوب می‌شود.

Impact (TA0040)
پیامد مستقیم شامل دسترسی کامل به Host، کنترل تمام VMها، تخریب سرویس‌های مجازی‌سازی، افشای داده‌ها، تغییر تنظیمات امنیتی و توقف سرویس است. چون سطح SYSTEM به دست می‌آید، محرمانگی، یکپارچگی و دسترس‌پذیری به‌طور کامل نقض می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-54115
2. https://www.cvedetails.com/cve/CVE-2025-54115/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-54115
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54115
5. https://vuldb.com/?id.323278
6. https://www.vicarius.io/vsociety/posts/cve-2025-54115-detection-script-privilege-elevation-vulnerability-in-windows-hyper-v
7. https://www.vicarius.io/vsociety/posts/cve-2025-54115-mitigation-script-privilege-elevation-vulnerability-in-windows-hyper-v
8. https://nvd.nist.gov/vuln/detail/CVE-2025-54115
9. https://cwe.mitre.org/data/definitions/362.html