CVE-2025-58729

چکیده

آسیب‌پذیری انکار سرویس (DoS) در کامپوننت Local Session Manager (LSM) ویندوز به دلیل اعتبارسنجی نادرست نوع ورودی مشخص ایجاد شده است. مهاجم احراز هویت‌شده با دسترسی پایین می‌تواند از راه دور و بدون تعامل کاربر، با ارسال ورودی مخرب، سرویس LSM را از دسترس خارج کند و در نتیجه باعث اختلال در مدیریت نشست های کاربری و در برخی موارد راه اندازی مجدد غیرمنتظره سیستم شود.

توضیحات

آسیب‌پذیری CVE-2025-58729 ناشی از اعتبارسنجی نادرست نوع ورودی مشخص مطابق با CWE-1287 در کامپوننت Local Session Manager (LSM)ویندوز است. این کامپوننت یکی از اجزای کلیدی زیرسیستم مدیریت نشست در ویندوز بوده و مسئول کنترل نشست‌های کاربری ، فرآیندهای ورود و خروج (Logon/Logoff)، تغییر کاربر فعال (User Switch) و قفل یا باز شدن صفحه (Lock Screen) می‌باشد.

در این ضعف، به دلیل عدم بررسی دقیق نوع داده‌های ورودی در توابع پردازش نشست، مهاجم احراز هویت‌شده، یعنی کاربری با دسترسی پایین و اعتبار ورود معتبر می‌تواند از طریق شبکه، ورودی‌های مخرب یا نامعتبر را به سرویس LSM ارسال کند. این عملیات معمولاً از طریق پروتکل‌های داخلی ویندوز مانند Remote Procedure Call (RPC) یا سایر پروتکل‌های مربوط به مدیریت نشست انجام می‌شود.

ارسال داده‌های ساختگی باعث پردازش نادرست در حافظه، مصرف بیش از حد منابع سیستم یا کرش سرویس LSM می‌گردد. در نتیجه، نشست‌های کاربری فعال خاتمه یافته، کاربران از سیستم خارج می‌شوند و ورود مجدد برای مدت کوتاهی غیرممکن می‌شود.

بهره‌برداری از این ضعف به‌راحتی قابل خودکارسازی است. مهاجم می‌تواند با اجرای اسکریپت‌ها یا ابزارهای خودکار، از راه دور و بدون نیاز به تعامل کاربر، درخواست‌های مخرب را به‌صورت مکرر ارسال کند و موجب انکار سرویس پایدار (Persistent DoS) در سیستم‌های هدف شود. این امر به‌ویژه در محیط‌های سازمانی می‌تواند موجب اختلال گسترده در نشست‌های فعال و قطعی سرویس‌های حیاتی شود.

مایکروسافت در به‌روزرسانی امنیتی اکتبر 2025 این آسیب‌پذیری را به‌طور کامل پچ کرده است. کاربران و مدیران سیستم باید با نصب آخرین پچ‌های امنیتی ویندوز، از سوءاستفاده بالقوه از این ضعف جلوگیری کنند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Local Session Manage و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری از نوع انکار سرویس با شدت متوسط، اما با تأثیر بالا بر در دسترس‌پذیری سیستم‌های ویندوزی است که حتی با دسترسی پایین قابل بهره‌برداری می باشد. با توجه به انتشار پچ رسمی توسط مایکروسافت، اقدامات زیر برای کاهش ریسک و جلوگیری از بهره‌برداری فوراً توصیه می‌شود:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را با پچ های امنیتی اکتبر 2025 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند
• محدودسازی دسترسی شبکه: دسترسی به پورت‌ها و سرویس‌های مربوط به LSM (مانند RPC Endpoint Mapper روی پورت 135 و پورت‌های دینامیک) را از طریق فایروال ویندوز (Windows Firewall) یا فایروال سازمانی محدود کنید.
• اعمال اصل حداقل دسترسی: حساب‌های کاربری را با حداقل دسترسی لازم پیکربندی کنید و از حساب‌های Administrator برای فعالیت‌های روزمره استفاده نکنید.
• مانیتورینگ و تشخیص: ازسیستم های شناسایی و پاسخ به تهدیدات (EDR/XDR) و Windows Event Forwarding برای نظارت بر Event IDهای مرتبط با LSM و شناسایی تلاش‌های مشکوک استفاده کنید.
• ایزوله‌سازی سرورها: سرورهای حیاتی را در شبکه‌های جداگانه قرار دهید و از Network Segmentation (تفکیک شبکه) استفاده کنید.
• استفاده از فایروال اپلیکیشن وب و IPS: در محیط‌هایی که دسترسی شبکه‌ای گسترده وجود دارد، از فایروال اپلیکیشن وب (WAF) و سیستم جلوگیری از نفوذ (IPS) برای فیلتر ترافیک مخرب بهره ببرید.

اجرای سریع به‌روزرسانی و رعایت اصل حداقل دسترسی، ریسک ناشی از این آسیب‌پذیری را کاهش داده و از بروز اختلال در نشست کاربران و سرویس‌های حیاتی جلوگیری می‌نماید.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این آسیب‌پذیری از نوع Local Service Exploitation است و مهاجم با دسترسی احراز هویت‌شده و سطح پایین می‌تواند درخواست‌های مخرب را به سرویس LSM ارسال کند. دسترسی از راه دور از طریق پروتکل‌های داخلی ویندوز مانند RPC یا پروتکل‌های مدیریت نشست امکان‌پذیر است و مهاجم بدون تعامل کاربر، سرویس را از دسترس خارج می‌کند.

Denial Of Service (T1499)
مهاجم با ارسال ورودی‌های نامعتبر به سرویس LSM، باعث کرش سرویس و انکار سرویس موقت یا پایدار می‌شود. اثرگذاری شامل اختلال در نشست‌های کاربری و در برخی موارد راه‌اندازی مجدد غیرمنتظره سیستم است.

Impact
اثرات اصلی این آسیب‌پذیری شامل اختلال در در دسترس‌پذیری سیستم و توقف سرویس‌های حیاتی مرتبط با مدیریت نشست است. در محیط‌های سازمانی، می‌تواند باعث قطعی گسترده نشست کاربران و کاهش کارایی سرویس‌های حیاتی شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-58729
2. https://www.cvedetails.com/cve/CVE-2025-58729/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58729
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58729
5. https://vuldb.com/?id.328393
6. https://nvd.nist.gov/vuln/detail/CVE-2025-58729
7. https://cwe.mitre.org/data/definitions/1287.html