CVE-2025-58720

چکیده

آسیب‌پذیری در سروس رمزنگاری ویندوز (Windows Cryptographic Services) به دلیل استفاده از الگوریتم های پایه رمزنگاری با پیاده‌سازی پرریسک است. مهاجم با دسترسی لوکال و احراز هویت‌شده می‌تواند اطلاعات حساس یا محرمانه سیستم را افشا کند.

توضیحات

آسیب‌پذیری CVE-2025-58720 در سرویس رمزنگاری ویندوز (Windows Cryptographic Services) ناشی از استفاده از الگوریتم های پایه رمزنگاری (Cryptographic Primitive) با پیاده‌سازی پرریسک مطابق با CWE-1240 است. این ضعف به مهاجم لوکال و احراز هویت شده با سطح دسترسی پایین اجازه می‌دهد تا با بهره‌برداری از پیاده‌سازی نامناسب الگوریتم‌های رمزنگاری، اطلاعات حساس را افشا کند. مهاجم می‌تواند با اجرای کد لوکال، فضای حافظه یا فرآیندهای رمزنگاری را دستکاری کرده و اطلاعات محرمانه مانند کلیدهای رمزنگاری، توکن ها یا رمزهای عبور را از حافظه استخراج نماید.

این حمله لوکال است و از طریق پروتکل‌های رمزنگاری داخلی ویندوز انجام می‌شود؛ مهاجم نیاز به دسترسی فیزیکی یا حساب کاربری معتبر دارد، اما می‌تواند بدون تعامل اضافی با کاربر عمل کند.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای لوکال، از راه دور (در محیط‌های RDP یا حساب‌های اشتراکی)، بدون تعامل کاربر و تنها با داشتن یک حساب با دسترسی پایین، فرآیندهای رمزنگاری را هدف قرار دهد و داده‌های حساس را از حافظه استخراج کند.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای اطلاعات حساس مانند کلیدهای خصوصی یا داده‌های کاربر، یکپارچگی با تغییر داده‌های رمزنگاری‌شده و در دسترس‌پذیری با ایجاد اختلال در سرویس‌های رمزنگاری است. مایکروسافت در به روزرسانی های امنیتی اکتبر 2025 پچ‌هایی امنیتی را منتشر کرده که پیاده‌سازی الگوریتم های پایه رمزنگاری را ایمن می‌کنند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در سرویس رمزنگاری ویندوز، امکان افشای اطلاعات حساس به صورت لوکال را فراهم می کند و می‌تواند منجر به سرقت کلیدهای رمزنگاری یا داده‌های محرمانه شود. با توجه به انتشار پچ‌های امنیتی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را به نسخه‌های پچ‌شده به‌روزرسانی کنید. پچ‌ها از طریق Windows Update یا KBهای مرتبط در دسترس هستند. به‌روزرسانی، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می توانند در تقویت امنیت و یا مقابله با آسیب پذیری های مشابه موثر باشند.
• تقویت کنترل دسترسی: حساب‌های کاربری لوکال را به حداقل دسترسی (Least Privilege) محدود کنید و از اجرای کدهای ناشناخته در محیط‌های لوکال جلوگیری نمایید.
• نظارت بر فرآیندهای رمزنگاری: لاگ‌های سرویس های رمزنگاری را با ابزارهایی مانند Event Viewer یا SIEM مانیتور کنید و هشدارهایی برای تلاش‌های دسترسی مشکوک به APIهای رمزنگاری تنظیم کنید.
• استفاده از ابزارهای امنیتی: از راهکارهای شناسایی و پاسخ به تهدیدات اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای تشخیص عملکردهای مشکوک لوکال استفاده کنید و Credential Guard (محافظت از مدارک هویتی) را برای حفاظت از کلیدهای حساس فعال نمایید.
• حذف دسترسی‌های غیرضروری: سرویس‌های رمزنگاری غیرضروری را غیرفعال کنید و دسترسی به فایل‌های حساس رمزنگاری‌شده را با لیست کنترل دسترسی (ACL) محدود سازید.
• تست امنیتی: سیستم‌ها را با ابزارهایی مانند ProcMon (مانیتورینگ فرآیندها) یا Wireshark اسکن کنید تا دسترسی‌های غیرعادی به فرآیندهای رمزنگاری شناسایی شود. همچنین از روش Fuzzing (تست تصادفی ورودی) برای ارزیابی مقاومت الگوریتم‌های رمزنگاری بهره ببرید.
• آموزش کاربران: تیم‌های IT را درباره ریسک پیاده‌سازی‌های پرریسک رمزنگاری و ضرورت به‌روزرسانی‌های امنیتی آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و نظارت بر لاگ‌ها، ریسک بهره‌برداری از این آسیب‌پذیری را کاهش داده و امنیت داده های رمزنگاری‌شده در سیستم‌های ویندوز را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
آسیب‌پذیری ذاتاً نیازمند حضور محلی یا اجرای کد لوکال است — مهاجم با داشتن یک حساب کاربری محلی یا نشست RDP/نشست‌های اشتراکی می‌تواند وارد دستگاه شود و بدافزار یا اسکریپتی را اجرا کند که به سرویس رمزنگاری دسترسی پیدا کند.

Credential Access (TA0006)
مهاجم تلاش می‌کند تا با خواندن حافظه فرآیندهای رمزنگاری یا سوءاستفاده از پیاده‌سازی‌های ضعیف، کلیدها، توکن‌ها یا متادیتای حساس را استخراج کند

Lateral Movement (TA0008)
پس از استخراج کلیدها یا توکن‌ها، مهاجم ممکن است به سیستم‌های دیگر حرکت کند یا نشست‌های تازه بازسازی‌شده را استفاده کند تا به منابع شبکه‌ای دسترسی یابد.

Impact (TA0040)
پیامد فنی اصلی افشای اطلاعات حساس (کلیدها، توکن‌ها، رمزها) است که می‌تواند منجر به دسترسی غیرمجاز گسترده، جعل هویت سرویس‌ها، یا رمزگشایی داده‌های حساس شود؛ در نتیجه محرمانگی و یکپارچگی تحت تأثیر قرار می‌گیرد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-58720
2. https://www.cvedetails.com/cve/CVE-2025-58720/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58720
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58720
5. https://vuldb.com/?id.328386
6. https://nvd.nist.gov/vuln/detail/CVE-2025-58720
7. https://cwe.mitre.org/data/definitions/1240.html