خانه » CVE-2025-58727
هشدار‌های سایبری

CVE-2025-58727

Windows Connected Devices Platform Service Elevation Of Privilege Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 196 بازدید
هشدار سایبری CVE-2025-58727
  • شناسه CVE-2025-58727 :CVE
  • CWE-362 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 14, 2025
  • به روز شده: نوامبر 4, 2025
  • امتیاز: 7.0
  • نوع حمله: Race Condition
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Microsoft
  • محصول: Windows
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری شرایط رقابتی (Race Condition) در سرویس پلتفرم دستگاه های متصل ویندوز (Windows Connected Devices Platform Service) شناسایی شده است. این آسیب پذیری به مهاجم لوکال با دسترسی پایین اجازه می‌دهد با موفقیت در شرایط رقابتی، سطح دسترسی خود را تا سطح SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-58727 از نوع شرایط رقابتی مطابق با CWE-362 در سرویس پلتفرم دستگاه های متصل ویندوز (Cdpsvc) است. این سرویس مسئول مدیریت اتصال و همگام‌سازی دستگاه‌های جانبی مانند گوشی‌های هوشمند، تبلت‌ها، دستگاه‌های اینترنت اشیا (IoT) و همچنین قابلیت‌های Your Phone / Phone Link، Nearby Share و Continuum است.

این آسیب‌پذیری زمانی رخ می‌دهد که دو یا چند عملیات به‌طور همزمان سعی کرده به یک منبع مشترک دسترسی پیدا کنند، بدون اینکه هماهنگی لازم برای جلوگیری از برخورد و تداخل میان این عملیات‌ها صورت گیرد. در این شرایط، عدم هماهنگی مناسب میان این عملیات‌ها منجر به عملکرد غیرمنتظره‌ای می‌شود که می‌تواند به نفع مهاجم باشد.

در این سناریو، مهاجم احراز هویت‌شده و دارای دسترسی پایین می‌تواند از این ضعف در هم‌زمانی عملیات‌ها سوء استفاده کرده و با موفقیت در این شرایط رقابتی، دسترسی خود را از سطح معمولی به سطح SYSTEM (سطح بالاترین سطح دسترسی در سیستم‌عامل) افزایش دهد. به عبارت دیگر، این آسیب‌پذیری به مهاجم اجازه می‌دهد که به منابع حساس و حیاتی سیستم دسترسی پیدا کند و عملیاتی مانند نصب نرم‌افزارهای مخرب، تغییر تنظیمات سیستم و حتی دسترسی به داده‌های حساس را انجام دهد.

این نوع آسیب‌پذیری در برنامه‌هایی که از منابع مشترک استفاده می‌کنند و فرآیندهای مختلفی به صورت هم‌زمان به این منابع دسترسی دارند، رایج است. مشکل اصلی در این موارد، عدم مدیریت هم‌زمانی صحیح میان این فرآیندها است که می‌تواند باعث تغییر یا دستکاری غیرمجاز در داده‌ها یا عملکردهای غیرمنتظره سیستم شود.

در این مورد خاص، مهاجم بدون نیاز به تعامل کاربر می‌تواند با استفاده از دسترسی لوکال به سیستم و بدون نیاز به دسترسی مدیریتی یا دسترسی بالا، از این آسیب‌پذیری بهره‌برداری کند. بهره برداری از آسیب پذیری مستلزم موفقیت در شرایط رقابتی است، به این معنا که مهاجم باید در شرایط خاص از هم زمانی نادرست بهره برداری کند.

این آسیب‌پذیری تأثیرات قابل توجهی بر محرمانگی، یکپارچگی و در دسترس‌پذیری دارد، چرا که مهاجم می‌تواند کنترل کامل سیستم را به دست آورده و از آن برای اهداف مختلف استفاده کند. مایکروسافت این آسیب‌پذیری را در به‌روزرسانی امنیتی اکتبر 2025 پچ کرده است.

CVSS

Score Severity Version Vector String
7.0 HIGH 3.1 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 10.0.26200.0 before 10.0.26200.6899 Unknown Windows 11 Version 25H2

 
affected from 10.0.19044.0 before 10.0.19044.6456 32-bit Systems, ARM64-based Systems, x64-based Systems Windows 10 Version 21H2
affected from 10.0.22621.0 before 10.0.22621.6060 ARM64-based Systems, x64-based Systems Windows 11 version 22H2
affected from 10.0.19045.0 before 10.0.19045.6456 x64-based Systems, ARM64-based Systems, 32-bit Systems Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.6899 x64-based Systems Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.6060 ARM64-based Systems Windows 11 version 22H3
affected from 10.0.22631.0 before 10.0.22631.6060 x64-based Systems Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.1913 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.6899 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.6899 x64-based Systems Windows Server 2025

لیست محصولات بروز شده

Versions Platforms Product
10.0.26200.6899 Unknown Windows 11 Version 25H2

 
10.0.19044.6456 32-bit Systems, ARM64-based Systems, x64-based Systems Windows 10 Version 21H2
10.0.22621.6060 ARM64-based Systems, x64-based Systems Windows 11 version 22H2
10.0.19045.6456 x64-based Systems, ARM64-based Systems, 32-bit Systems Windows 10 Version 22H2
10.0.26100.6899 x64-based Systems Windows Server 2025 (Server Core installation)
10.0.22631.6060 ARM64-based Systems Windows 11 version 22H3
10.0.22631.6060 x64-based Systems Windows 11 Version 23H2
10.0.25398.1913 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.6899 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
10.0.26100.6899 x64-based Systems Windows Server 2025

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Connected Devices Platform Service و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
113 site:.ir “Connected Devices Platform Service” Connected Devices Platform Service
278,000 site:.ir “Windows Server” Windows Server
986,000 site:.ir “Windows 10” Windows 10
492,000 site:.ir “Windows 11” Windows 11

نتیجه گیری

این آسیب‌پذیری با شدت بالا از نوع شرایط رقابتی در سرویس پلتفرم دستگاه‌های متصل ویندوز (Cdpsvc) می‌تواند به مهاجم لوکال با دسترسی پایین اجازه دهد سطح دسترسی خود را تا سطح SYSTEM افزایش دهد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای کاهش ریسک و جلوگیری از بهره برداری ضروری است:

  • به‌روزرسانی فوری سیستم‌ها: تمام سیستم‌های ویندوز را با پچ های امنیتی اکتبر 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • فعال‌سازی به‌روزرسانی خودکار (Windows Update): از فعال بودن قابلیت به‌روزرسانی خودکار ویندوز اطمینان حاصل کنید تا پچ‌های امنیتی آینده بدون تأخیر نصب شوند.
  • اعمال اصل حداقل دسترسی: از ایجاد حساب‌های کاربری با دسترسی بالا خودداری کرده و دسترسی کاربران و سرویس‌ها به منابع سیستمی را محدود کنید تا در صورت بهره‌برداری موفق، دامنه اثر مهاجم کاهش یابد.
  • غیرفعال‌سازی سرویس در سیستم‌های غیرضروری: در ایستگاه‌های کاری، سرورها یا محیط‌هایی که از قابلیت‌های Connected Devices Platform مانند Phone Link یا Nearby Share استفاده نمی‌شود، این سرویس را از طریق msc یا سیاست‌های گروهی (Group Policy) غیرفعال کنید.
  • نظارت امنیتی: با استفاده از Microsoft Defender for Endpoint یا سایر سایر راهکارهای تشخیص و پاسخ پیشرفته (EDR/XDR)، فعالیت‌های مرتبط با سرویس Cdpsvc را مانیتور کنید و رویدادهای مشکوک را در Event Viewer بررسی کنید.
  • تقویت مکانیزم‌های امنیتی مبتنی بر سخت‌افزار: : قابلیت‌های امنیتی مبتنی بر مجازی‌سازی مانند یکپارچگی کد محافظت‌شده توسط هایپروایزر (HVCI) و امنیت مبتنی بر مجازی‌سازی (VBS) را فعال کنید تا امکان بهره‌برداری از آسیب‌پذیری‌های سطح کرنل کاهش یابد.
  • محدودسازی سطح حمله با قوانین ASR: از قوانین کاهش سطح حمله (Attack Surface Reduction Rules) در Microsoft Defender استفاده کنید تا فرآیندها یا اسکریپت‌های مشکوک مسدود شوند.
  • نظارت بر عملکرد سیستم و بررسی ناهنجاری‌ها: هرگونه افزایش غیرعادی در مصرف CPU یا حافظه در فرآیندهای مرتبط با ConnectedDevicesPlatformService می‌تواند نشانه‌ای از بهره‌برداری یا تلاش برای آن باشد. این عملکردها باید بلافاصله بررسی شوند.

با وجود اینکه بهره‌برداری از این آسیب‌پذیری به دلیل ماهیت Race Condition به دقت زمانی بالا نیاز دارد، پیامدهای آن در صورت موفقیت بسیار جدی است. بنابراین، نصب فوری به‌روزرسانی امنیتی مایکروسافت و اجرای مجموعه اقدامات فوق، بهترین روش برای افزایش تاب‌آوری امنیتی سیستم ها در برابر تهدیدات است.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

حمله با نیاز به دسترسی اولیه مهاجم به سیستم هدف آغاز می‌شود. این آسیب‌پذیری از نوع لوکال (Local) است، به این معنی که مهاجم از قبل یک حساب کاربری استاندارد و احراز هویت شده روی سیستم ویندوز دارد. این دسترسی پایه، که معمولاً دارای کمترین امتیازات است، پیش‌نیاز حیاتی برای شروع بهره‌برداری از سرویس سیستمی با دسترسی بالاتر محسوب می‌شود.

Discovery (TA0007)

در این مرحله، مهاجم نیاز به شناسایی و جمع‌آوری اطلاعات درباره محیط سیستم دارد. این کار شامل یافتن فرآیند Cdpsvc، تعیین سطح دسترسی آن و درک دقیق نحوه مدیریت منابع مشترک توسط سرویس است. این اطلاعات برای تنظیم زمان‌بندی دقیق (Timing) و Payloadهای مورد نیاز برای پیروزی در شرایط رقابتی، که ذاتاً به دقت زمانی بالایی نیاز دارد، ضروری است.

Privilege Escalation (TA0004)

مهاجم با موفقیت در شرایط رقابتی (CWE-362) در سرویس Cdpsvc، از عدم هماهنگی صحیح میان عملیات‌های همزمان سوءاستفاده می‌کند. این اقدام منجر به دستکاری غیرمجاز در داده‌ها یا عملکردهای سرویس می‌شود و در نهایت دسترسی مهاجم از سطح کاربر عادی به بالاترین سطح دسترسی سیستم‌عامل، یعنی SYSTEM، ارتقاء می‌یابد.

Defense Evasion (TA0005)

با کسب امتیازات کامل SYSTEM، مهاجم می‌تواند به طور موثر مکانیزم‌های دفاعی سیستم‌عامل را دور بزند. این امر شامل غیرفعال کردن یا دستکاری سرویس‌های امنیتی مانند Windows Defender و سایر ابزارهای امنیتی است. علاوه بر این، چون حمله از طریق یک سرویس سیستمی مجاز (Cdpsvc) انجام می‌شود، احتمالاً در برابر تشخیص‌های سطحی پنهان می‌ماند.

Credential Access (TA0006)

پس از ارتقاء موفق، مهاجم از دسترسی SYSTEM خود برای سرقت اعتبارنامه‌ها استفاده می‌کند. این شامل توانایی دسترسی به مناطق حفاظت‌شده حافظه و سیستم فایل برای استخراج هش‌های رمز عبور، توکن‌های احراز هویت و سایر گواهی‌نامه‌های حساس متعلق به سایر کاربران یا حساب‌های مدیریتی است که می‌تواند برای حملات آتی و افزایش دامنه نفوذ استفاده شود.

Persistence (TA0003)

برای اطمینان از ماندگاری و حفظ دسترسی حتی پس از ریبوت یا به‌روزرسانی‌ها، مهاجم با امتیاز SYSTEM اقدام به ایجاد نقاط دسترسی دائمی می‌کند. این شامل نصب درایورها، ایجاد یا تغییر سرویس‌های سیستمی، یا دستکاری نقاط شروع خودکار (مانند کلیدهای رجیستری) است تا اطمینان حاصل شود که عامل مخرب مهاجم بدون نیاز به بهره‌برداری مجدد از آسیب‌پذیری اصلی، اجرا می‌شود.

Collection (TA0009)

با داشتن کنترل کامل SYSTEM، مهاجم به مرحله جمع‌آوری داده‌ها وارد می‌شود. این امکان اکنون وجود دارد که مهاجم بدون هیچ محدودیتی، به هرگونه فایل حساس، داده‌های اپلیکیشن‌ها، پایگاه داده‌ها و لاگ‌ها در سیستم دسترسی پیدا کند.

Lateral Movement (TA0008)

سیستمی که دسترسی SYSTEM در آن به دست آمده، اکنون به عنوان نقطه‌ی پرش عمل می‌کند. مهاجم از اعتبارنامه‌ها یا توکن‌های دزدیده‌شده با امتیاز بالا برای حرکت در شبکه داخلی و دسترسی به سایر سیستم‌ها و سرورهای با ارزش استفاده می‌کند. این امر به مهاجم اجازه می‌دهد که دامنه عملیات خود را از یک ایستگاه کاری منفرد به کل زیرساخت سازمانی گسترش دهد.

Impact (TA0040)

نتیجه نهایی این حمله، یک تأثیر بالا و جدی بر محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم است. با کنترل کامل SYSTEM، مهاجم می‌تواند عملیات‌هایی از جمله نصب نرم‌افزارهای مخرب، تغییر کامل پیکربندی‌های سیستم، و اخلال در عملکرد سرویس‌های حیاتی را انجام دهد که می‌تواند به طور جدی به عملکرد کسب‌وکار آسیب برساند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-58727
  2. https://www.cvedetails.com/cve/CVE-2025-58727/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58727
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58727
  5. https://vuldb.com/?id.328391
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-58727
  7. https://cwe.mitre.org/data/definitions/362.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.