CVE-2025-59497

چکیده

آسیب‌پذیری شرایط رقابتیِ زمان بررسی تا زمان استفاده (TOCTOU, Time‑of‑check Time‑of‑use) در Microsoft Defender for Endpoint برای لینوکس به یک مهاجم لوکال دارای دسترسی پایین اجازه می‌دهد با ایجاد و برنده شدن در رقابت زمان‌بندی، فرآیند محافظتی را مختل یا دچار کرش کند و در نتیجه وضعیت انکار سرویس (DoS) لوکال را به‌وجود آورد.

توضیحات

آسیب‌پذیری CVE-2025-59497 در Microsoft Defender for Endpoint for Linux (نرم‌افزار امنیتی مایکروسافت برای حفاظت از اندپوینت لینوکس در برابر تهدیدات)، ناشی از شرایط زمان بررسی تا زمان استفاده است و مطابق باCWE-367 طبقه‌بندی می‌شود. در این نوع ضعف، تفاوت زمانی بین بررسی یک وضعیت و استفاده از آن امکانِ دستکاری وضعیت را فراهم می‌آورد و در نتیجه عملکرد غیرمنتظره‌ای رخ می‌دهد.

این آسیب پذیری از طریق بهره‌برداری لوکال از شرایط رقابتی (race condition) در کدهای داخلی Defender، مانند بررسی و استفاده از فایل‌های موقتی یا مکانیزم های قفل (lock)، قابل سوءاستفاده است. مهاجم مجاز لوکال با دسترسی پایین می‌تواند با اجرای اسکریپت یا ابزارهای timing-sensitive، در رقابت زمان بندی برنده شود و باعث کرش یا متوقف شدن فرآیند Defender گردد؛ نتیجه می‌تواند ایجاد یک انکار سرویس لوکال (local DoS) و در پی آن برداشته شدن لایه‌های حفاظتی باشد که سیستم را برای حملات بعدی آسیب‌پذیر می‌کند.

پیامدهای این آسیب‌پذیری محرمانگی با امکان افشای داده‌های امنیتی مانند لاگ‌های تهدیدات، یکپارچگی با تغییر تنظیمات Defender یا فایل‌های حفاظتی و در دسترس‌پذیری با امکان کرش فرآیند Defender و اختلال در اسکن‌های امنیتی است.

بهره‌برداری عملی از این آسیب پذیری پیچیدگی فنی نسبتاً بالایی دارد (نیاز به بردن مسابقه زمانی) اما طبق گزارش‌ها امکان خودکارسازی با اسکریپت‌های لوکال (مثلاً با Bash یا Python و ماژول‌های threading) وجود دارد.

این آسیب‌پذیری نسخه‌های 101.0.0 تا پیش از 101.25032.0010 را تحت تأثیر قرار می‌دهد. مایکروسافت پچ امنیتی را در بیلد 101.25032.0010 را منتشر کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft Defender for Endpoint را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Microsoft Defender for Linux امکان ایجاد انکار سرویس لوکال از طریق شرایط رقابتی را فراهم می‌کند. اقدامات زیر برای کاهش ریسک و جلوگیری از آسیب پذیری ضروری است:

• به‌روزرسانی فوری: Defender را از طریق Microsoft Update به نسخه 101.25032.0010 یا بالاتر به روزرسانی کرده و فایل‌ها را تنها از منابع رسمی مایکروسافت دانلود کنید.
• راهکار کاهش ریسک (Mitigation): دسترسی لوکال را با SELinux یا AppArmor محدودکرده، از ابزارهایی مانند auditd برای نظارت بر شرایط رقابتی استفاده کنید و lockهای فایل را با flock تقویت نمایید.
• محدودسازی دسترسی: کاربران لوکال را به حداقل سطح دسترسی محدود کنید (مانند noexec روی /tmp) و دسترسی به فرآیندهای Defender را با فایروال (iptables)ایزوله نمایید.
• نظارت و ثبت لاگ: لاگ‌های Defender را با journalctl نظارت کرده و از SIEM مانند Splunk برای تشخیص تلاش هایrace استفاده کنید.
• ایزوله‌سازی محیط: Defender را درکانتینر (Docker) اجرا کرده و ترافیک لوکال را از طریق cgroup محدود نمایید.
• اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Lynis یا OpenVAS اسکن کنید و تست نفوذ روی سناریو های TOCTOUانجام دهید.
• آموزش کاربران: مدیران را در مورد ریسک race conditions، اهمیت به‌روزرسانی و کنترل دسترسی لوکال آموزش دهید.

اجرای این اقدامات ریسک انکار سرویس (DoS) و اختلال در حفاظت اندپوینت را کاهش داده و امنیت سیستم‌های لینوکسی را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Impact (TA0040)
اثرات فنی این آسیب‌پذیری شامل اختلال یا توقف عملکرد Microsoft Defender (local DoS) ، کاهش دید امنیتی، و افزایش احتمال نفوذ ثانویه است؛ پیامد عملی می‌تواند شامل از دست رفتن لاگ‌های تهدید، توقف اسکن و افزایش سطح ریسک سازمانی باشد

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-59497
2. https://www.cvedetails.com/cve/CVE-2025-59497/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59497
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-59497
5. https://vuldb.com/?id.328483
6. https://nvd.nist.gov/vuln/detail/CVE-2025-59497
7. https://cwe.mitre.org/data/definitions/367.html