CVE-2025-58738

چکیده

آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) در Inbox COM Objects شناسایی شده است. در این ضعف امنیتی، مهاجم با موفقیت در شرایط رقابتی (Race Condition) می‌تواند کد دلخواه را به‌صورت لوکال اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-58738 در Inbox COM Objects از نوع استفاده پس از آزادسازی (Use After Free) مطابق با CWE-416 است. Inbox COM Objects مجموعه‌ای از کامپوننت‌های داخلی COM در ویندوز هستند که به‌صورت پیش‌فرض در سیستم‌عامل وجود دارند و مسئول مدیریت حافظه جهانی (Global Memory) ، چرخه عمر آبجکت‌ها و تعامل بین فرآیندها و برنامه‌های مختلف می‌باشند.

این آسیب‌پذیری به مهاجم اجازه می‌دهد که به‌صورت لوکال و بدون نیاز به احراز هویت یا دسترسی قبلی، کد دلخواه را اجرا کند. بهره‌برداری از این ضعف نیازمند تعامل کاربر است؛ به این معنا که مهاجم باید یک فایل مخرب، مانند سند آفیس یا فایل‌های دستکاری‌شده دیگر، را برای کاربر ارسال کند و کاربر را فریب دهد تا آن را باز کرده و اجرا کند. در صورتی که فایل مخرب باز شود، آسیب‌پذیری استفاده پس از آزادسازی در حافظه می‌تواند موجب خرابی حافظه و در نتیجه، تغییر جریان اجرای برنامه شود.

مهم‌تر از همه، بهره‌برداری موفق از این آسیب‌پذیری نیازمند موفقیت در شرایط رقابتی (Race Condition) است. بدان معنا که مهاجم باید توانایی دستکاری هم‌زمان با آزادسازی حافظه و استفاده از آن را داشته باشد تا بتواند کنترل جریان اجرای برنامه را به‌دست آورد. در واقع، موفقیت در این شرایط رقابتی برای اجرای کد دلخواه ضروری است.

عنوان اجرای کد از راه دور (Remote Code Execution) در این آسیب‌پذیری به این معناست که مهاجم می‌تواند بدون دسترسی مستقیم به سیستم قربانی برای مثال با ارسال یک فایل مخرب، حمله را از راه دور آغاز کند. با این حال، فرآیند بهره‌برداری و اجرای کد در نهایت به‌صورت لوکال روی سیستم قربانی انجام می‌شود. در حقیقت، این نوع آسیب‌پذیری بیشتر به‌عنوان اجرای کد دلخواه (ACE) شناخته می‌شود، زیرا مهاجم از طریق دستکاری مستقیم حافظه و بدون نیاز به دسترسی‌های اضافی قادر به اجرای کد دلخواه خواهد بود.

پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی از طریق دسترسی به داده‌های حساس، یکپارچگی با امکان تغییر فایل‌ها و تنظیمات و در دسترس‌پذیری با قابلیت اختلال یا توقف عملکرد سیستم است.

مایکروسافت برای رفع این آسیب‌پذیری در اکتبر 2025 به‌روزرسانی‌های امنیتی منتشر کرده است. با نصب این به‌روزرسانی‌ها، آسیب‌پذیری به‌طور کامل پچ شده و از بهره‌برداری آن جلوگیری خواهد شد.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Inbox COM Objects ویندوز، امکان اجرای کد دلخواه به‌صورت لوکال را برای مهاجم فراهم می‌کند. بهره‌برداری از آن مستلزم تعامل کاربر و موفقیت مهاجم در شرایط رقابتی است. با توجه به انتشار پچ‌های امنیتی مایکروسافت در اکتبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری، کاهش ریسک و تقویت امنیت ضروری است:

• به‌روزرسانی فوری سیستم‌ها: تمام نسخه‌های آسیب‌پذیر ویندوز باید در اسرع وقت با پچ‌های امنیتی اکتبر 2025 به‌روزرسانی شوند. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند..
• آموزش و آگاهی کاربران: کاربران باید نسبت به ریسک باز کردن فایل‌های ناشناس، پیوست‌های ایمیل و محتوای دریافت‌شده از منابع نامعتبر آگاه شوند. توصیه می‌شود از باز کردن فایل‌های مشکوک، فعال‌سازی ماکروها و اجرای محتوای فعال خودداری شود تا احتمال تعامل ناخواسته کاهش یابد.
• مانیتورینگ و تشخیص تهدید: استفاده از ابزارهای تشخیص نفوذ و راهکارهای امنیتی اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای شناسایی عملکردهای مشکوک مرتبط با خرابی حافظه یا اجرای کد غیرمجاز توصیه می‌شود. همچنین، بررسی منظم لاگ‌های سیستمی می‌تواند به شناسایی نشانه‌های اولیه حمله کمک کند.
• محدودسازی اجرای فایل‌ها: با اعمال سیاست‌های کنترل اجرای نرم‌افزار (مانند Application Control)، اجرای فایل‌ها از مسیرهای پرریسک نظیر ایمیل‌ها، دایرکتوری‌های دانلود و منابع موقت محدود شود تا احتمال اجرای فایل‌های مخرب کاهش یابد.
• ایزوله‌سازی محیط‌ها: در محیط‌های حیاتی، استفاده از مجازی‌سازی و مکانیزم‌های ایزوله‌سازی پیشرفته مانند Hyper-V Shielded VMs می‌تواند اثرات اجرای کد لوکال را محدود کرده و از گسترش حمله جلوگیری کند.
• ارزیابی پس از اعمال پچ: پس از اعمال به‌روزرسانی‌ها، از ابزارهای اسکن آسیب‌پذیری برای تأیید نسخه‌ها و اطمینان از اعمال صحیح پچ‌ها استفاده کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی‌ فوری، آموزش کاربران و نظارت مداوم، می‌تواند ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش دهد و امنیت کلی زیرساخت‌های ویندوزی را تقویت کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ریشه دسترسی اولیه در این سناریو فیشینگ مبتنی بر فایل و تحریک تعامل کاربر است؛ مهاجم فایل‌هایی مانند library-ms، LNK یا ZIP دستکاری‌شده حاوی مسیر UNC مخرب را ارسال می‌کند. حتی با تعامل حداقلی (کلیک، راست‌کلیک یا مشاهده پوشه)، ویندوز مسیر UNC را پردازش کرده و احراز هویت NTLM را آغاز می‌کند.

Credential Access (TA0006)

هسته حمله افشای هش NTLMv2 از طریق ارسال خودکار احراز هویت به سرور SMB مهاجم است. این داده می‌تواند برای Relay، Pass-the-Hash یا کرک استفاده شود.

Discovery (TA0007)

مهاجم با مشاهده پاسخ‌های SMB/NTLM، وجود سیستم‌های آسیب‌پذیر و سیاست‌های احراز هویت را به‌صورت غیرمستقیم کشف می‌کند.

Defense Evasion (TA0005)

حمله با عدم نیاز به اجرای فایل و تکیه بر رفتار پیش‌فرض ویندوز، از بسیاری از کنترل‌های سنتی عبور می‌کند.

Lateral Movement (TA0008)

با NTLM Relay، مهاجم می‌تواند به سرویس‌های داخلی دامنه دسترسی بگیرد و حرکت جانبی انجام دهد.

Collection (TA0009)

داده جمع‌آوری‌شده همان هش‌های NTLMv2 است که ارزش عملیاتی بالایی دارند.

Impact (TA0040)

تأثیر اصلی نقض محرمانگی و جعل هویت است که می‌تواند به دسترسی غیرمجاز و گسترش حمله در دامنه منجر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-58738
2. https://www.cvedetails.com/cve/CVE-2025-58738/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58738
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58738
5. https://vuldb.com/?id.328402
6. https://nvd.nist.gov/vuln/detail/CVE-2025-58738
7. https://cwe.mitre.org/data/definitions/416.html