CVE-2025-55233

چکیده

آسیب‌پذیری خواندن خارج از محدوده حافظه (Out-of-bounds Read) در کامپوننت Windows Projected File System (ProjFS) شناسایی شده است. این ضعف امنیتی به یک مهاجم لوکال احراز هویت‌شده با سطح دسترسی پایین اجازه می‌دهد تا با بهره‌برداری از ضعف مدیریت حافظه، سطح دسترسی خود را به SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-55233 ناشی از خواندن خارج از محدوده حافظه (Out-of-bounds Read) مطابق با CWE-125 در کامپوننت Windows Projected File System (ProjFS) است. ProjFS یکی از کامپوننت‌های سیستمی ویندوز است که بر بستر سیستم فایل NTFS و از طریق زیرساخت ورودی و خروجی (I/O) ویندوز عمل می‌کند و امکان مجازی‌سازی فایل‌ها را فراهم می‌سازد؛ به‌گونه‌ای که فایل‌های مجازی یا داده‌های در دسترس به‌صورت درخواستی (On-demand) برای برنامه‌ها مشابه فایل‌های لوکال نمایش داده می‌شوند، بدون آنکه الزاماً تمام محتوای آن‌ها از ابتدا به‌طور کامل روی دیسک ذخیره شود.

این ضعف امنیتی به یک مهاجم لوکال از قبل احراز هویت شده و دارای سطح دسترسی پایین، اجازه می‌دهد با سوءاستفاده از ضعف مدیریت حافظه در ProjFS، به داده‌هایی خارج از محدوده مجاز دسترسی پیدا کند. در سناریوهای مشخص، این عملکرد می‌تواند منجر به افشای اطلاعات حساس در حافظه، دستکاری جریان اجرای کد در سطح سیستم و در نهایت افزایش سطح دسترسی تا سطح SYSTEM شود.

بهره‌برداری از این آسیب‌پذیری از به سادگی قابل انجام است و به تعامل کاربر نیاز ندارد؛ مهاجم می‌تواند به‌صورت کاملاً لوکال و صرفاً با اجرای کد یا ابزارهای مخرب روی سیستم هدف، از این ضعف سوءاستفاده کند. با توجه به سطح دسترسی حاصل‌شده، پیامدهای بهره‌برداری می‌تواند شامل افشای اطلاعات حساس سیستم، نصب بدافزار با دسترسی بالا، تغییر یا غیرفعال‌سازی کنترل‌های امنیتی و ایجاد اختلال در عملکرد کلی سیستم‌عامل ویندوز باشد. این آسیب‌پذیری با انتشار به‌روزرسانی‌های امنیتی مایکروسافت در دسامبر 2025 به طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که کامپوننت Projected File System و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در کامپوننت Windows Projected File System (ProjFS)، امکان افزایش سطح دسترسی لوکال را برای مهاجم فراهم می‌کند و در صورت بهره‌برداری موفق می‌تواند منجر به کنترل کامل سیستم با سطح دسترسی SYSTEM شود. با توجه به انتشار پچ‌های امنیتی در دسامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمامی سیستم‌های ویندوز باید در اسرع وقت به آخرین بیلدهای امنیتی منتشرشده توسط مایکروسافت به‌روزرسانی شوند. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی دسترسی لوکال: حساب‌های کاربری باید بر اساس اصل حداقل دسترسی مدیریت شوند. از استفاده روزمره از حساب‌های Administrator اجتناب کرده و ویژگی کنترل حساب کاربری (User Account Control) را همواره فعال نگه دارید.
• نظارت و ثبت لاگ: با استفاده از ابزارهایی مانند Windows Event Viewer، رویدادهای مرتبط با افزایش سطح دسترسی و فعالیت‌های غیرعادی را نظارت کرده و لاگ‌ها را با سطح جزئیات مناسب به‌صورت مستمر بررسی کنید.
• ایزوله‌سازی: سیستم‌های حساس را با بهره‌گیری از مکانیزم‌هایی مانند AppLocker یا Smart App Control ایزوله کنید تا اجرای کدهای ناشناخته یا غیرمجاز محدود شود و احتمال بهره‌برداری کاهش یابد.
• غیرفعال‌سازی ProjFS در صورت عدم نیاز: : در صورت عدم استفاده از قابلیت Projected File System، می‌توان این ویژگی را از طریق تنظیمات رجیستری یا سیاست‌های گروهی (Group Policy) و پس از انجام تست‌های لازم، غیرفعال کرد تا سطح حمله کاهش یابد.
• تست امنیتی: پس از نصب به‌روزرسانی‌ها، سیستم‌ها باید با استفاده از ابزارهای اسکن آسیب‌پذیری و بررسی نسخه‌ها ارزیابی شوند تا اطمینان حاصل شود پچ‌ها به‌درستی اعمال شده‌اند و سیستم‌ها در معرض نسخه‌های آسیب‌پذیر قرار ندارند.
• آموزش کاربران: کاربران را درباره ریسک‌های دسترسی لوکال و اهمیت به‌روزرسانی آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع سیستم‌ها و اعمال سیاست‌های محدودسازی دسترسی لوکال، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت سیستم‌های ویندوز را در برابر افزایش سطح دسترسی لوکال به‌صورت قابل‌توجهی تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این آسیب‌پذیری به‌تنهایی مسیر دسترسی اولیه ایجاد نمی‌کند و نیازمند آن است که مهاجم از قبل به‌صورت لوکال به سیستم دسترسی داشته باشد (مثلاً از طریق حساب کاربری عادی، دسترسی فیزیکی یا زنجیره حمله قبلی). بنابراین Initial Access به‌صورت مستقیم مرتبط نیست، اما می‌تواند به‌عنوان مرحله تکمیلی پس از نفوذ اولیه مورد استفاده قرار گیرد.

Privilege Escalation (TA0004)
این تاکتیک هسته اصلی آسیب‌پذیری است. مهاجم لوکال با سطح دسترسی پایین می‌تواند از ضعف مدیریت حافظه در ProjFS سوءاستفاده کرده و سطح دسترسی خود را تا SYSTEM افزایش دهد.

Defense Evasion (TA0005)
پس از ارتقای دسترسی، مهاجم می‌تواند با غیرفعال‌سازی کنترل‌های امنیتی، تغییر تنظیمات یا دستکاری لاگ‌ها از شناسایی فرار کند. این مرحله نتیجه‌ی مستقیم دسترسی SYSTEM است.

Discovery (TA0007)
با دسترسی SYSTEM، مهاجم قادر است اطلاعات مربوط به پیکربندی سیستم، کاربران، سرویس‌ها و کنترل‌های امنیتی را جمع‌آوری کند تا حمله را گسترش دهد.

Impact (TA0040)
پیامد نهایی شامل کنترل کامل سیستم، نصب بدافزار پایدار، افشای اطلاعات حساس و ایجاد اختلال در عملکرد سیستم‌عامل است. این Impact می‌تواند به‌عنوان سکوی پرتاب برای حملات بعدی در محیط سازمانی استفاده شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-55233
2. https://www.cvedetails.com/cve/CVE-2025-55233/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55233
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55233
5. https://vuldb.com/?id.335385
6. https://nvd.nist.gov/vuln/detail/CVE-2025-55233
7. https://cwe.mitre.org/data/definitions/125.html