CVE-2025-55698

چکیده

آسیب‌پذیری ارجاع به اشاره‌گر تهی (NULL Pointer Dereference) در کرنل گرافیکی DirectX ویندوز شناسایی شده است. این ضعف امنیتی به یک مهاجم احراز هویت‌شده با دسترسی پایین اجازه می‌دهد تا از طریق شبکه انکار سرویس (DoS) ایجاد کند.

توضیحات

آسیب‌پذیری CVE-2025-55698 در کرنل گرافیکی DirectX ویندوز (DirectX Graphics Kernel) ناشی از ارجاع به اشاره‌گر تهی (NULL Pointer Dereference) مطابق با CWE-476 است. DirectX مجموعه‌ای از رابط‌های برنامه‌نویسی (API) مایکروسافت برای مدیریت گرافیک، صدا و ورودی در ویندوز است و بخش کرنلی آن (DirectX Graphics Kernel) وظیفه پردازش عملیات گرافیکی سطح پایین، به‌ویژه در محیط‌های مجازی‌سازی مانند Hyper-V را بر عهده دارد.

مهاجمِ احراز هویت‌شده با سطح دسترسی پایین، از داخل یک ماشین مجازی مهمان (Hyper-V Guest) درخواست‌ها یا فراخوانی‌های گرافیکی خاصی را به کرنل گرافیکی DirectX ارسال می‌کند که حاوی شرایط غیرمنتظره است. در اثر این ورودی‌ها، کرنل DirectX به یک اشاره‌گر تهی (NULL pointer) ارجاع داده و مسیر اجرای کرنل دچار خطای بحرانی می‌شود. نتیجه این وضعیت، کرش کرنل و ایجاد Denial of Service در سیستم میزبان Hyper-V بدون نیاز به تعامل کاربر است.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ به‌طوری که مهاجم می‌تواند از داخل یک ماشین مجازی مهمان (Hyper-V Guest) با دسترسی محدود، درخواست‌ها یا عملیات گرافیکی مخرب به کرنل DirectX ارسال کند. در نتیجه، مرز امنیتی بین مهمان و میزبان از بین رفته و دامنه تأثیر تغییر می‌کند (Scope: Changed)، به‌گونه‌ای که حمله منجر به انکار سرویس (DoS) در محیط میزبان Hyper-V می‌شود. مایکروسافت این آسیب پذیری را با انتشار به‌روزرسانی امنیتی اکتبر 2025 به‌طور کامل پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که کامپوننت DirectX Graphics Kernel و محصولات Windows Server و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در کرنل گرافیکی DirectX به مهاجمان احراز هویت‌شده در محیط مهمان Hyper-V امکان انکار سرویس روی میزبان را می‌دهد و می‌تواند منجر به اختلال جدی در در دسترس‌پذیری سرورهای مجازی‌سازی‌شده شود. با توجه به انتشار پچ رسمی توسط مایکروسافت در اکتبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوزی آسیب‌پذیر را با پچ های امنیتی اکتبر 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• مانیتورینگ و تشخیص تهدید: از راهکارهای تشخیص و پاسخ به تهدید در سطح اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای نظارت بر عملیات مشکوک گرافیکی در محیط Hyper-V استفاده کنید. بررسی لاگ‌های Hyper-V و Event Viewer برای کرش‌های غیرعادی کرنل می‌تواند به شناسایی اولیه کمک کند.
• اصل حداقل دسترسی: سیاست حداقل سطح دسترسی را در ماشین‌های مجازی guest اعمال کنید و دسترسی به ویژگی‌های گرافیکی DirectX را محدود نمایید. از اعطای دسترسی‌های غیرضروری به guestها خودداری کنید.
• ایزوله‌سازی پیشرفته در Hyper-V: از قابلیت‌هایی مانند ماشین‌های مجازی محافظت‌شده (Shielded Virtual Machines) و سرویس نگهبان میزبان (Host Guardian Service) برای افزایش ایزوله‌سازی بین مهمان و میزبان استفاده کنید. همچنین، امنیت مبتنی بر مجازی‌سازی (VBS) را فعال کنید تا حملات کرنل محدود شوند.
• تست و ارزیابی: پس از نصب به‌روزرسانی‌ها، سیستم‌ها باید با استفاده از ابزارهای اسکن آسیب‌پذیری و بررسی نسخه‌ها ارزیابی شوند تا اطمینان حاصل شود پچ‌ها به‌درستی اعمال شده‌اند و سیستم‌ها در معرض نسخه‌های آسیب‌پذیر قرار ندارند.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت ایزوله‌سازی Hyper-V، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت زیرساخت‌های مجازی‌سازی ویندوز را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

دسترسی اولیه از طریق ماشین مجازی مهمان Hyper-V که مهاجم در آن یک حساب کاربری با سطح دسترسی پایین دارد به‌دست می‌آید. هیچ اکسپلویت اولیه‌ای روی میزبان لازم نیست؛ صرف حضور در Guest و امکان ارسال فراخوانی‌های گرافیکی کافی است. این یعنی سطح حمله از قبل داخل زیرساخت وجود دارد و به ضعف ایزوله‌سازی تکیه می‌کند.

Defense Evasion (TA0005)

حمله بدون ایجاد فایل، بدون بدافزار و صرفاً از طریق رفتارهای گرافیکی معتبر سیستم انجام می‌شود. همین موضوع باعث می‌شود بسیاری از ابزارهای سنتی آنتی‌ویروس و امضا-محور، هیچ الگوی مشخصی برای تشخیص نداشته باشند و حمله عملاً کم‌صدا (Low Noise) اجرا شود.

Impact (TA0040)

هدف نهایی حمله Denial of Service است؛ کرش کرنل DirectX باعث از کار افتادن میزبان Hyper-V و در نتیجه توقف سرویس‌های حیاتی می‌شود. این تاکتیک مستقیماً دسترس‌پذیری (Availability) را هدف قرار می‌دهد و برای محیط‌های مجازی‌سازی، اثر عملیاتی بسیار بالایی دارد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-55698
2. https://www.cvedetails.com/cve/CVE-2025-55698/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55698
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55698
5. https://vuldb.com/?id.328376
6. https://nvd.nist.gov/vuln/detail/CVE-2025-55698
7. https://cwe.mitre.org/data/definitions/476.html