CVE-2025-60705

چکیده

آسیب‌پذیری کنترل دسترسی نامناسب در سرویس Client-Side Caching (سرویس کش سمت کلاینت) ویندوز شناسایی شده است. این آسیب پذیری به مهاجم لوکال دارای حساب کاربر معتبر اجازه می دهد سطح دسترسی خود را از کاربر عادی به مدیر سیستم (Administrator) افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-60705 در سرویس Client-Side Caching (CSC) ویندوز که مسئول کش و همگام‌سازی فایل‌های آفلاین در قابلیت Offline Files است، ناشی از کنترل دسترسی نامناسب مطابق با CWE‑284 می‌باشد. به دلیل پیاده‌سازی نادرست مکانیزم‌های مجوزدهی در این سرویس، مهاجم لوکال با سطح دسترسی پایین (کاربر استاندارد) می‌تواند به بخش‌هایی از CSC که معمولاً محافظت‌شده هستند دسترسی یابد و سطح دسترسی خود را به Administrator افزایش دهد.

این آسیب پذیری تاثیر قابل توجهی بر محرمانگی، یکپارچگی و در دسترس‌پذیری دارد و می‌تواند منجر به انجام عملیات غیرمجاز از جمله دسترسی به فایل‌های حساس، تغییر پیکربندی‌های سیستم، اجرای کد مخرب یا ایجاد اختلال در سرویس‌های ویندوز شود.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، به‌صورت لوکال، بدون تعامل کاربر و تنها با داشتن حساب کاربری با دسترسی پایین، تلاش‌هایی را برای سوءاستفاده از APIهای CSC (مانند CSC.dll) انجام دهد و سطح دسترسی را به Administrator افزایش دهد. این حمله معمولاً از طریق رابط خط فرمان (Command Line) یا اسکریپت‌های PowerShell انجام می‌شود و نیازی به دسترسی شبکه ندارد.

این آسیب‌پذیری با انتشار به‌روزرسانی‌های امنیتی مایکروسافت در نوامبر 2025 به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Client-Side Caching و محصولات Windows Server، Windows 10 و Windows 11 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در سرویس Client‑Side Caching (CSC) ویندوز، به مهاجم لوکال با دسترسی پایین اجازه می‌دهد سطح دسترسی خود را به سطح Administrator افزایش دهد. این مسئله در محیط‌هایی که کاربران عادی به سیستم دسترسی دارند، می‌تواند منجر به تسلط کامل مهاجم بر سیستم و انجام عملیات مخرب شود. با توجه به انتشار پچ‌های امنیتی مایکروسافت، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را به نسخه های پچ شده به‌روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• غیرفعال‌سازی ویژگی‌های غیرضروری: اگر از Offline Files استفاده نمی‌شود، آن را در تنظیمات سیستم غیرفعال کنید تا سرویس CSC محدود شود و ریسک سوءاستفاده کاهش یابد.
• اعمال اصل حداقل دسترسی: حساب‌های کاربری را بر اساس اصل حداقل دسترسی مدیریت کنید و از کنترل حساب کاربری (UAC) برای جلوگیری از اجرای فرآیندهای غیرمجاز استفاده نمایید؛ همچنین، حساب‌های Administrator را غیرفعال یا محافظت‌شده نگه دارید.
• نظارت و ثبت لاگ: از ابزارهایی مانند Windows Event Viewer یا سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) برای مانیتورینگ رویدادهای CSC استفاده کنید و لاگ‌های سیستم را با سطح جزئیات بالا بررسی نمایید تا تلاش‌های افزایش دسترسی شناسایی شود.
• تست امنیتی: سیستم‌ها را با ابزارهای تحلیل امنیتی مانند Microsoft Defender Vulnerability Management یا Nessus اسکن کنید تا سناریوهای افزایش دسترسی لوکال شناسایی شود. همچنین از روش Sandboxing (اجرای ایزوله‌شده) برای تست پچ‌ها بهره ببرید.
• آموزش کاربران: تیم‌های IT و کاربران را درباره‌ی ریسک‌های دسترسی لوکال در ویژگی‌های کشینگ ویندوز و ضرورت به‌روزرسانی منظم آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و غیرفعال‌سازی CSC در موارد غیرضروری، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت سیستم‌های ویندوزی را تضمین می کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

اینجا ورودی از بیرون اتفاق نمی‌افته؛ مهاجم باید قبلاً یک حساب کاربری لوکال معتبر داشته باشد. سناریوهایی مثل حضور فیزیکی، حساب‌های مشترک، RDP داخلی یا راه‌های قبلی نفوذ (مثل حساب لوکال قدیمی یا کرک‌شده) ورودی عملی هستند. این تاکتیک در این آسیب‌پذیری نقش «کمکی» دارد چون Elevation of Privilege نیازمند سطح دسترسی اولیه‌ است.

Privilege Escalation (TA0004)

ضعف مجوزدهی در CSC اجازه می‌دهد مهاجم با حساب کاربر معمولی وارد قلمرو عملیات محافظت‌شده سیستم شود. با دست‌کاری فایل‌های کش آفلاین یا بخش‌های محدودشده، مهاجم امتیاز خود را به Administrator ارتقا می‌دهد.

Discovery (TA0007)

پس از گرفتن دسترسی بالاتر، مهاجم می‌تواند ساختار فایل‌ها، سرویس‌ها، پالیسی‌ها و کانفیگ‌های شبکه را بررسی کند.

Lateral Movement (TA0008)

افزایش سطح دسترسی به Admin روی یک ماشین، سکوی پرتاب است: مهاجم می‌تواند از RDP داخلی، SMB، WMI یا ابزارهای مدیریت دامینی برای حرکت به سمت سایر سیستم‌ها استفاده کند. اگر سیستم عضو دامین باشد، ریسک حرکت جانبی به‌شدت بالا می‌رود.

Collection (TA0009)

هکر بعد از گرفتن Admin به‌راحتی به فایل‌های کاربر، فایل‌های سیستمی، لاگ‌ها، اسناد کاری و دیتای ذخیره‌شده در CSC دسترسی کامل دارد.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌ها را از طریق کانال‌های معمول مثل SMB، HTTP/S، SSH تونل، یا ابزارهای فشرده‌سازی و خروج مخفی منتقل کند.

Impact (TA0040)

تغییر فایل‌ها، حذف داده‌ها، نصب بدافزار، دورزدن امنیت، خرابکاری سرویس‌ها، ایجاد User Backdoor و حرکت سازمانی گسترده. در محیط‌های Enterprise پیامد نهایی چیزی نزدیک به compromise کامل دستگاه است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-60705
2. https://www.cvedetails.com/cve/CVE-2025-60705/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60705
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-60705
5. https://vuldb.com/?id.331962
6. https://nvd.nist.gov/vuln/detail/CVE-2025-60705
7. https://cwe.mitre.org/data/definitions/284.html