- شناسه CVE-2025-58737 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: اکتبر 14, 2025
- به روز شده: دسامبر 11, 2025
- امتیاز: 7.0
- نوع حمله: Use after free
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری استفاده پس از آزادسازی (Use After Free) در پروتکل Remote Desktop شناسایی شده است. در این ضعف امنیتی، مهاجم میتواند با سوءاستفاده از شرایط رقابتی (Race Condition)، کد دلخواه خود را بهصورت لوکال اجرا کرده و به سیستم قربانی دسترسی پیدا کند.
توضیحات
آسیبپذیری CVE-2025-58737 از نوع استفاده پس از آزادسازی (Use After Free) مطابق با CWE-416 است. این ضعف در Remote Desktop Protocol (RDP) ویندوز رخ میدهد که پروتکل اصلی برای دسترسی از راه دور به سرورها و دسکتاپها است.
این آسیبپذیری به مهاجم بدون نیاز به دسترسی قبلی اجازه میدهد بهصورت لوکال، کد دلخواه اجرا کند. بهرهبرداری از این ضعف نیازمند تعامل کاربر است؛ مهاجم باید فایل مخرب را برای کاربر ارسال کند و کاربر را فریب دهد تا آن را باز نماید. عبارت اجرای کد از راه دور (RCE) در این آسیبپذیری به این معناست که مهاجم میتواند از راه دور حمله را آغاز کند اما فرآیند بهرهبرداری و اجرای کد در نهایت بهصورت لوکال بر روی سیستم قربانی انجام میشود.
مهمترین مؤلفه این آسیبپذیری، وابستگی بهرهبرداری موفق به ایجاد یک شرایط رقابتی (Race Condition) در فرآیند مدیریت حافظه است. در این سناریو، مهاجم با ارسال یک فایل مخرب و ترغیب کاربر به باز کردن یا تعامل با آن، تلاش میکند با زمانبندی دقیق اجرای چند عملیات همزمان، بین مرحله بررسی وضعیت حافظه (check) و مرحله استفاده از آن (use) شکاف زمانی ایجاد کند. این وضعیت رقابتی باعث میشود سیستم از حافظهای استفاده کند که یا آزاد شده یا محتوای آن بهطور کنترلشده توسط مهاجم جایگزین شده است. در نتیجه، خرابی حافظه رخ داده و مهاجم قادر خواهد بود کنترل جریان اجرای برنامه یا سیستم را بهدست آورد. مایکروسافت بهمنظور رفع این آسیبپذیری در اکتبر 2025 بهروزرسانیهای امنیتی منتشر کرده است که با نصب آنها، آسیبپذیری بهطور کامل پچ شده و از بهرهبرداری آن جلوگیری خواهد شد.
CVSS
| Score | Severity | Version | Vector String |
| 7.0 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.17763.0 before 10.0.17763.7919 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.7919 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.4294 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.26100.0 before 10.0.26100.6899 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.25398.0 before 10.0.25398.1913 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.6899 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.14393.0 before 10.0.14393.8519 | x64-based Systems | Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.8519 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.22824 | x64-based Systems | Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.22824 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.17763.7919 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.7919 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.4294 | x64-based Systems | Windows Server 2022 |
| 10.0.26100.6899 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.25398.1913 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.6899 | x64-based Systems | Windows Server 2025 |
| 10.0.14393.8519 | x64-based Systems | Windows Server 2016 |
| 10.0.14393.8519 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| 6.3.9600.22824 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.22824 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Remote Desktop Protocol و Windows Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 2260 | site:.ir “Remote Desktop Protocol” | Remote Desktop Protocol |
| 278,000 | site:.ir “Windows Server” | Windows Server |
نتیجه گیری
این آسیبپذیری با شدت بالا در پروتکل Remote Desktop ویندوز، امکان اجرای کد دلخواه بهصورت لوکال را برای مهاجم فراهم میکند. بهرهبرداری از آن مستلزم تعامل کاربر و موفقیت مهاجم در شرایط رقابتی است. با توجه به انتشار پچهای امنیتی مایکروسافت در اکتبر 2025، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری، کاهش ریسک و تقویت امنیت ضروری است:
- بهروزرسانی فوری سیستمها: تمام نسخههای آسیبپذیر ویندوز باید در اسرع وقت با پچهای امنیتی اکتبر 2025 بهروزرسانی شوند. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- آموزش و آگاهی کاربران: کاربران را نسبت به ریسک باز کردن فایلهای ناشناخته، بهویژه در محیطهای دسترسی از راه دور، آموزش دهید و توصیه کنید فایلها را تنها از منابع معتبر باز کنند.
- مانیتورینگ و تشخیص تهدید: از ابزارهای تشخیص نفوذ (IDS) و راهکارهای امنیتی اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای شناسایی فعالیتهای مشکوک مرتبط با RDP یا خرابی حافظه استفاده کنید. همچنین بررسی منظم لاگهای RDP و سیستمی میتواند به شناسایی نشانههای اولیه حمله کمک کند.
- محدودسازی دسترسی RDP: دسترسی به RDP را محدود کنید، پورت RDP (3389) را از اینترنت مسدود نمایید و احراز هویت سطح شبکه (NLA) را اجباری کنید تا ریسک بهرهبرداری کاهش یابد.
- ایزولهسازی سرورها: سرورهای RDP را در شبکههای ایزوله قرار دهید و دسترسی به RDP را فقط برای کاربران و بازههای زمانی مشخص، از طریق فایروال و سیاستهای کنترلی محدود نمایید.
- ارزیابی پس از اعمال پچ: پس از اعمال بهروزرسانیها، از ابزارهای اسکن آسیبپذیری برای تأیید نسخهها و اطمینان از اعمال صحیح پچها استفاده کنید
اجرای این اقدامات، بهویژه بهروزرسانی فوری ، محدودسازی دسترسی RDP و نظارت مداوم، ریسک بهرهبرداری از این آسیبپذیری بهطور قابلتوجهی کاهش می دهد و امنیت کلی سرورهای ویندوزی را تضمین می کند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم از مهندسی اجتماعی استفاده میکند و یک فایل مخرب را از طریق ایمیل، پیامرسان یا اشتراک فایل برای کاربر ارسال میکند. شرط اصلی موفقیت، تعامل کاربر و باز شدن فایل است.
Execution (TA0002)
پس از باز شدن فایل، کد مخرب در بستر سیستم قربانی اجرا میشود. در این مرحله، شرایط رقابتی باعث میشود کد در لحظهای اجرا شود که حافظه آزاد شده اما همچنان قابل دسترسی است و منجر به Local Code Execution میشود.
Privilege Escalation (TA0004)
در صورت موفقیت اجرای کد، مهاجم میتواند از خرابی حافظه برای اجرای کد در سطح دسترسی بالاتر سوءاستفاده کند. این مرحله به تنظیمات سیستم و کانتکست اجرای RDP وابسته است.
Defense Evasion (TA0005)
به دلیل ماهیت Race Condition و نبود PoC عمومی، رفتار مخرب میتواند شبیه کرش یا خطای عادی سیستم دیده شود و از دید ابزارهای امنیتی ساده پنهان بماند.
Credential Access (TA0006)
در صورت اجرای موفق کد، امکان دسترسی به دادههای حساس موجود در حافظه یا نشستهای RDP وجود دارد.
Discovery (TA0007)
مهاجم میتواند پس از دسترسی، اطلاعات مربوط به سیستم، نشستهای فعال RDP و ساختار محیط را جمعآوری کند تا اثر حمله را افزایش دهد.
Impact (TA0040)
پیامد نهایی شامل نقض محرمانگی، تغییر دادهها و اختلال در سرویس است. کرش سرویس RDP، توقف سیستم یا اجرای کد دلخواه میتواند دسترسپذیری سرور را بهطور جدی تحت تأثیر قرار دهد
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-58737
- https://www.cvedetails.com/cve/CVE-2025-58737/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58737
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58737
- https://vuldb.com/?id.328401
- https://nvd.nist.gov/vuln/detail/CVE-2025-58737
- https://cwe.mitre.org/data/definitions/416.html
