CVE-2025-59502

چکیده

آسیب‌پذیری مصرف کنترل نشده منابع در Remote Procedure Call سیستم عامل های ویندوز شناسایی شده است که به مهاجم غیرمجاز امکان انکار سرویس (DoS) از طریق شبکه را می‌دهد.

توضیحات

آسیب‌پذیری CVE-2025-59502 در پیاده سازی Remote Procedure Call (RPC، پروتکل برای اجرای رویه های از راه دور در سیستم‌های توزیع‌شده) سیستم‌عامل‌های ویندوز، ناشی از مصرف کنترل نشده منابع است و مطابق با CWE-400 طبقه‌بندی می‌شود.

پیامد این آسیب پذیری در دسترس‌پذیری با اختلال کامل در سرویس RPC، مانند از دست رفتن دسترسی به سرویس‌های شبکه یا کرش سیستم است. این ضعف از طریق ارسال بسته‌های مخرب RPC از طریق شبکه بدون اعتبارسنجی مناسب، قابل بهره‌برداری است. مهاجم می‌تواند با ابزارهایی مانند Metasploit یا اسکریپت‌های سفارشی، ترافیک RPC را با سرعت ارسال کرده و منابع سرور را به دست آورد.

این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌های خودکار مانند پایتون با کتابخانه Scapy، به‌صورت از راه دور و بدون تعامل کاربر و تنها با دسترسی به شبکه، درخواست‌های RPC مخرب را ارسال کند و در نتیجه انکار سرویس (DoS) ایجاد کند؛ این امر منجر به توقف طولانی مدت سیستم (downtime) و اختلال در عملیات سازمانی می‌شود.

این آسیب‌پذیری نسخه‌های مختلف ویندوز 10، 11 و ویندوز سرور را تحت تأثیر قرار می‌دهد. مایکروسافت این آسیب پذیری را در به روزرسانی های سپتامبر 2025 پچ کرده است و کاربران و مدیران سیستم که به روزرسانی سپتامبر را نصب کرده اند، نیازی به اقدام اضافی ندارند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در RPC سیستم‌عامل‌های ویندوز امکان انکار سرویس (DoS) از راه دور را فراهم می‌کند.اقدامات زیر برای کاهش ریسک و جلوگیری از آسیب پذیری ضروری است:

• به‌روزرسانی فوری: سیستم‌ها را از طریق Windows Update به نسخه‌های پچ‌شده به روزرسانی کرده و فایل‌ها را تنها از منابع رسمی مایکروسافت دانلود کنید. همچنین توصیه می شود از WSUS (سرویس های به روزرسانی سرور ویندوز) برای مدیریت به‌روزرسانی‌های سازمانی استفاده کنید.
• راهکار کاهش ریسک : RPC را با فایروال مانند Windows Defender Firewall محدود کرده، پورت‌های RPC را فقط به IPهای مورد اعتماد باز نگه دارید و از IPSec برای رمزنگاری ترافیک RPC بهره ببرید.
• محدودسازی دسترسی: RPC را در حالت محدود (RPC Endpoint Mapper filtering) اجرا کرده و دسترسی به سرویس‌های حساس را با Group Policy محدود نمایید.
• نظارت و ثبت لاگ: ترافیک RPC را با Event Viewer (Event ID 5827 برای RPC errors) یا ابزارهایی مانند Wireshark نظارت کنید و از مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای تشخیص بهره بگیرید.
• ایزوله‌سازی محیط: سرورها را در DMZ (Demilitarized Zone) یا VLANهای جداگانه قرار دهید و از load balancer برای توزیع ترافیک RPC استفاده کنید.
• اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Nessus یا Microsoft Baseline Security Analyzer اسکن کنید و تست نفوذ روی اندپوینت RPC انجام دهید.
• آموزش کاربران: مدیران IT را در مورد ریسک DoS، اهمیت به روزرسانی های ماهانه و نظارت بر لاگ‌ها آموزش دهید.

اجرای این اقدامات ریسک DoS را به‌طور چشمگیری کاهش داده و پایداری سیستم‌های ویندوز را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم می‌تواند از راه دور با ارسال بسته‌های مخرب RPC به سرویس‌های RPC هدف، وضعیت سرویس را به نقطه‌ای برساند که پاسخ‌دهی مختل یا کرش کند

Discovery (TA0007)
حمله‌کننده می‌تواند با اسکن و ارسال درخواست‌های RPC ساخت‌یافته شبکه را برای یافتن سرویس‌های آسیب‌پذیر کاوش کند

Impact (TA0040)
پیامد اصلی فنی این نقص کاهش شدید در دسترس‌پذیری سرویس‌ها (DoS) است که می‌تواند منجر به توقف سرویس‌های حیاتی، اختلال در عملیات سازمانی و هزینه‌های بازیابی و پاسخ‌دهی گردد؛ در سناریوهای بحرانی ممکن است باعث تاثیرات زنجیره‌ای در سرویس‌های وابسته شود

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-59502
2. https://www.cvedetails.com/cve/CVE-2025-59502/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59502
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-59502
5. https://vuldb.com/?id.328484
6. https://cwe.mitre.org/data/definitions/400.html