CVE-2025-58739

چکیده

آسیب‌پذیری در کامپوننت Windows File Explorer ناشی از افشای اطلاعات حساس به عامل غیرمجاز است. این ضعف امنیتی به مهاجم غیرمجاز اجازه می‌دهد از طریق شبکه عملیات جعل (Spoofing) را انجام دهد و محرمانگی داده‌ها را تهدید کند.

توضیحات

آسیب‌پذیری CVE-2025-58739 در کامپوننت Windows File Explorer از نوع افشای اطلاعات حساس به عامل غیرمجاز مطابق با CWE-200 است. این کامپوننت مدیر فایل ویندوز است که مسئولیت نمایش و مدیریت فایل‌ها و پیش‌نمایش آن‌ها را بر عهده دارد.

این آسیب‌پذیری به یک مهاجم بدون نیاز به احراز هویت اجازه می‌دهد از طریق شبکه، بدون نیاز به دسترسی قبلی، اطلاعات حساس را افشا کند و عملیات جعل (Spoofing) انجام دهد. بهره‌برداری از آن نیازمند تعامل کاربر است؛ به این معنا که کاربر باید یک فایل دستکاری‌شده خاص را در پنل پیش‌نمایش Windows File Explorer مشاهده کند. عملیات جعل می‌تواند به مهاجم اجازه دهد تا به اطلاعات حساس مانند اعتبارنامه‌های NTLM یا سایر داده‌های محرمانه دست یابد. این اطلاعات می‌توانند به مهاجم کمک کنند تا هویت خود را در شبکه جعل کرده و به منابع غیرمجاز دسترسی پیدا کند.

این ضعف به‌سادگی قابل بهره‌برداری است؛ مهاجم می‌تواند فایل مخرب را از طریق شبکه (مانند اشتراک‌گذاری فایل‌ها یا ایمیل) به هدف ارسال کرده و کاربر را فریب دهد تا فایل را باز کند و پیش‌نمایش آن را فعال نماید. این اقدام می‌تواند منجر به افشای اطلاعات حساس و به‌دنبال آن، تهدید محرمانگی داده‌ها شود. این آسیب‌پذیری با انتشار به‌روزرسانی‌های امنیتی مایکروسافت در اکتبر 2025 به‌طور کامل پچ شده است. به‌روزرسانی‌های تجمعی (Cumulative Updates) برای اینترنت اکسپلورر (IE) شامل پچ‌های امنیتی برای پلتفرم‌های MSHTML و EdgeHTML هستند که هنوز در برخی پلتفرم‌ها پشتیبانی می‌شوند. نصب این به‌روزرسانی‌ها به‌ویژه برای سیستم‌های ویندوز سرور 2008 و 2012 ضروری است. برای اطمینان از حفاظت کامل توصیه می‌شود کاربرانی که به‌روزرسانی‌های امنیتی را نصب می‌کنند، حتماً به‌روزرسانی‌های IE Cumulative را نیز اعمال نمایند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که کامپوننت Windows File Explorer و محصولات Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در Windows File Explorer باعث افشای اطلاعات حساس و امکان انجام عملیات جعل از طریق شبکه برای مهاجمان می‌شود. با انتشار پچ‌های امنیتی مایکروسافت در اکتبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری، کاهش ریسک و تقویت امنیت ضروری است:

• به‌روزرسانی فوری سیستم‌ها: تمام نسخه‌های ویندوز آسیب‌پذیر را با پچ‌های امنیتی اکتبر 2025 به‌روزرسانی کنید. کاربرانی که به‌روزرسانی‌های امنیتی را نصب می‌کنند باید حتماً به‌روزرسانی‌های IE Cumulative را نیز اعمال نمایند. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• آموزش و آگاهی کاربران: کاربران باید از ریسک‌های باز کردن فایل‌های ناشناخته یا فعال کردن پنل پیش‌نمایش (Preview Pane) در File Explorer آگاه شوند. در صورت امکان، بهتر است پنل پیش‌نمایش غیرفعال شود تا ریسک تعاملات ناخواسته کاهش یابد.
• مانیتورینگ شبکه و تشخیص تهدید: از ابزارهای تشخیص نفوذ شبکه و راهکارهای شناسایی اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای شناسایی تلاش‌های جعل NTLM یا افشای اعتبارنامه استفاده کنید. بررسی لاگ‌های شبکه برای فعالیت‌های مشکوک می‌تواند به شناسایی سریع تهدیدات کمک کند.
• محدودسازی اشتراک فایل و شبکه: دسترسی به اشتراک‌های شبکه را محدود کنید و از پروتکل‌های امن‌تر مانند SMB با امضای اجباری استفاده نمایید تا ریسک جعل هویت کاهش یابد.
• غیرفعال کردن ویژگی‌های پرریسک: در محیط‌های حساس، ویژگی Preview Pane در File Explorer را با استفاده از سیاست‌های گروهی (Group Policy) غیرفعال کنید و کاربران را به استفاده از ابزارهای جایگزین برای پیش‌نمایش فایل‌ها تشویق کنید.
• ارزیابی پس از اعمال پچ‌ها: پس از اعمال به‌روزرسانی‌ها، از ابزارهای اسکن آسیب‌پذیری برای تأیید اعمال صحیح پچ‌ها و بررسی نسخه‌های نصب‌شده استفاده کنید.

اجرای این اقدامات، به‌ویژه اولویت دادن به به‌روزرسانی‌ها، آموزش کاربران و نظارت شبکه، به طور قابل‌توجهی ریسک بهره‌برداری از این آسیب‌پذیری را کاهش داده و امنیت کلی سیستم‌های ویندوزی را در برابر تهدیدات افشای اطلاعات افزایش خواهد داد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم با ارسال یک فایل دستکاری‌شده از طریق ایمیل، اشتراک شبکه یا مسیرهای UNC کاربر را به مشاهده فایل در Windows File Explorer ترغیب می‌کند. فعال بودن Preview Pane باعث می‌شود بدون اجرای مستقیم فایل، تعامل اولیه برقرار شود.

Credential Access (TA0006)

با Trigger شدن Preview Pane، سیستم ممکن است درخواست احراز هویت NTLM را به منبع مهاجم ارسال کند و Hash یا Metadata اعتبارنامه افشا شود.

Defense Evasion (TA0005)

حمله بدون بدافزار، بدون فایل اجرایی و صرفاً با استفاده از رفتار عادی سیستم انجام می‌شود و از بسیاری از Signature-based Controls عبور می‌کند.

Lateral Movement (TA0008)

در صورت موفقیت در دستیابی به Hash یا Credential، مهاجم می‌تواند از Pass-the-Hash برای حرکت جانبی در شبکه استفاده کند.

Collection (TA0009)

اطلاعات جمع‌آوری‌شده شامل Hashهای احراز هویت، نام کاربری، دامنه و ساختار شبکه است که برای مراحل بعدی حمله استفاده می‌شود.

Exfiltration (TA0010)

اطلاعات افشاشده از طریق کانال‌های استاندارد احراز هویت شبکه به زیرساخت مهاجم منتقل می‌شود.

Impact (TA0040)

این آسیب‌پذیری مستقیماً باعث نقض محرمانگی شده و به‌صورت غیرمستقیم می‌تواند منجر به دسترسی غیرمجاز، حرکت جانبی و گسترش حمله در شبکه سازمانی شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-58739
2. https://www.cvedetails.com/cve/CVE-2025-58739/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-58739
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58739
5. https://vuldb.com/?id.328403
6. https://nvd.nist.gov/vuln/detail/CVE-2025-58739
7. https://cwe.mitre.org/data/definitions/200.html