CVE-2025-60723

چکیده

آسیب‌پذیری شرایط رقابتی (Race Condition) همراه با استفاده پس از آزادسازی (Use-After-Free) در کامپوننت DirectX Graphics Kernel (کرنل گرافیکی DirectX) ویندوز شناسایی شده است. مهاجم احراز هویت‌شده با دسترسی پایین می‌تواند از طریق شبکه و بدون نیاز به تعامل کاربر، باعث وقوع انکار سرویس (DoS) شود. این ضعف به‌ویژه در محیط‌های Hyper-V ممکن است منجر به از کار افتادن میزبان (Host) از درون ماشین مجازی (Guest) گردد.

توضیحات

آسیب‌پذیری CVE-2025-60723 ناشی از ترکیب دو ضعف امنیتی شرایط رقابتی در دسترسی هم‌زمان به منبع مشترک مطابق با استاندارد CWE-362 و استفاده از حافظه پس از آزادسازی مطابق با CWE-416 در کامپوننت DirectX Graphics Kernel (dxgkrnl.sys) ویندوز است. این کامپوننت نقش حیاتی در مدیریت ارتباط بین درایورهای گرافیکی (GPU Drivers)، برنامه‌های کاربردی و سخت‌افزار گرافیکی (GPU) دارد.

این ضعف زمانی رخ می‌دهد که چند رشته پردازشی (Thread) به‌صورت هم‌زمان به یک منبع گرافیکی مشترک دسترسی پیدا می‌کنند، اما هم‌زمان‌سازی (Synchronization) بین آن‌ها به‌درستی پیاده‌سازی نشده است. در چنین شرایطی، ممکن است یک رشته پس از آزادسازی (Free) یک آبجکت گرافیکی همچنان به آن ارجاع دهد (Use-After-Free)، در حالی که رشته‌ی دیگر به‌صورت هم‌زمان همان حافظه را مجدداً تخصیص دهد یا بازنویسی کند. این تداخل منجر به ناپایداری حافظه در فضای کرنل و در نهایت کرش ماژول گرافیکی یا انکار سرویس (DoS) در سطح سیستم می‌شود.

بردار حمله شبکه‌ای است و دامنه‌ی تأثیر تغییر یافته (Scope: Changed) نشان می‌دهد که مهاجم می‌تواند از درون یک ماشین مجازی (Guest VM) با دسترسی محدود، از طریق تعامل با منابع گرافیکی مجازی‌شده، این آسیب‌پذیری را فعال کند و موجب اختلال در میزبان اصلی (Hyper-V Host) شود، وضعیتی که به آن حمله‌ی Guest-to-Host گفته می‌شود. این نوع حمله می‌تواند کل سرویس‌های مجازی‌سازی را در محیط‌های ابری یا مراکز داده مختل کند.

بهره‌برداری موفق از این ضعف مستلزم موفقیت در شرایط رقابتی دقیق زمان‌بندی (Timing Race) و داشتن یک حساب کاربری معتبر هرچند با دسترسی پایین است. بنابراین احتمال بهره‌برداری برای مهاجمان خارجی بدون دسترسی اولیه پایین ارزیابی می‌شود. با این حال، در محیط‌های سازمانی یا زیرساخت‌های ابری که در آن‌ها چندین ماشین مجازی یا کاربر با سطح دسترسی محدود به‌طور هم‌زمان اجرا می‌شوند، این آسیب‌پذیری می‌تواند منجر به اختلال گسترده در سرویس‌دهی (Service Disruption) شود. به عبارتی پیامد اصلی این ضعف، تأثیر بالا بر در دسترس‌پذیری سیستم است. این آسیب‌پذیری در به‌روزرسانی‌های امنیتی نوامبر 2025 مایکروسافت شامل به روزرسانی امنیتی و Hotpatch به‌طور کامل پچ شده است.

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir کامپوننت DirectX Graphics Kernel و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در کامپوننت DirectX Graphics Kernel مایکروسافت، از طریق شرایط رقابتی و استفاده پس از آزادسازی، در محیط‌های Hyper-V امکان ایجاد انکار سرویس (DoS) را فراهم می‌کند. این ضعف به‌ویژه در سناریوهایی که ماشین‌های مجازی با دسترسی محدود اجرا می‌شوند، می‌تواند منجر به کرش کامل میزبان (Host) و اختلال گسترده در سرویس‌های مجازی‌سازی، کلود و زیرساخت دسکتاپ مجازی (VDI) شود. با توجه به انتشار پچ‌های امنیتی در به‌روزرسانی نوامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز آسیب پذیر را به نسخه های پچ شده به روزرسانی کنید. اولویت نخست باید به Hostهای Hyper-V متصل به شبکه یا کلود اختصاص یابد؛ در محیط‌های حساس، از Hotpatch (به‌روزرسانی بدون نیاز به راه‌اندازی مجدد) استفاده کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• تقویت ایزوله‌سازی Hyper-V: ویژگی‌های ماشین‌های مجازی محافظت‌شده (Shielded VMs) را فعال سازید تا Guestها از Host ایزوله شوند؛ از مجازی‌سازی تو در تو (Nested Virtualization) برای تست بهره‌برداری استفاده کنید و دسترسی انتقال مستقیم GPU (GPU Passthrough) را در Guestهای حساس غیرفعال نمایید؛ همچنین، حفاظت از اعتبارنامه‌ها (Credential Guard) و حفاظت از دستگاه‌ها (Device Guard) را برای جلوگیری از دسترسی غیرمجاز به کرنل گرافیکی پیاده‌سازی کنید.
• اعمال اصل حداقل دسترسی: دسترسی کاربران و Guestها را به حداقل لازم محدود کنید؛ حساب‌های با دسترسی پایین را در ماشین‌های مجازی با سیاست‌های گروهی (Group Policy) نظارت کنید و از AppLocker برای مسدودسازی اجرای برنامه‌های مشکوک که ممکن است رقابتی را فعال کنند، بهره ببرید.
• نظارت و ثبت لاگ: لاگ‌های Hyper-V Host (مانند Event IDهای مرتبط با sys در Windows Event Viewer) را با ابزارهایی مانند Microsoft Sentinel یا سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) مانیتور کنید تا تلاش‌های شرایط رقابتی یا کرش‌های گرافیکی شناسایی شود؛ سطح لاگ را به DEBUG افزایش دهید و telemetry را برای تشخیص الگوهای مشکوک (مانند دسترسی همزمان به منابع گرافیکی) گسترش دهید؛ همچنین، از ابزارهای مانند ProcMon (Process Monitor) برای ردیابی تعاملات کرنل استفاده کنید.
• آموزش و آگاهی: تیم‌های IT و توسعه‌دهندگان را در مورد ریسک‌های کرنل گرافیکی در Hyper-V آموزش دهید و بر اهمیت به‌روزرسانی منظم و نظارت بر دسترسی‌های پایین تأکید کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع نسخه‌ها، ایزوله‌سازی کامل Hyper-V و نظارت مداوم، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت و پایداری محیط‌های مجازی‌سازی در محصولات مایکروسافت را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access- TA0001
در این سناریو ورودی اولیه از طریق شبکه یا مهاجم خارجی اتفاق نمی‌افتد؛ مهاجم نیازمند یک حساب معتبر در محیط Guest است و از داخل همان ماشین مجازی عملیات را آغاز می‌کند. ورودی در اصل محلی است، اما چون اثر آن از Guest به Host منتقل می‌شود، در سطح معماری به‌عنوان یک بردار کمکی در نظر گرفته می‌شود.

Defense Evasion – TA0005
Race Condition با الگوی زمانی غیرقطعی اجرا می‌شود و باعث ایجاد شرایطی می‌گردد که لاگ‌ها رفتار معمولی پردازش گرافیکی را تقلید می‌کنند. این موضوع باعث دشواری در تشخیص رفتار مخرب از طریق ابزارهای ساده مبتنی بر لاگ می‌شود و امکان عبور از تشخیص‌های پایه‌ای وجود دارد.

Impact – TA0040
تأثیر اصلی این ضعف، اختلال شدید در سرویس‌دهی است. مهاجم می‌تواند از یک Guest با دسترسی کم، میزبان Hyper-V را دچار کرش کند و Availability کل سرویس‌های مجازی‌سازی را مختل سازد. این نوع Crash باعث از بین رفتن سرویس، ری‌استارت ناگهانی Host و توقف سرویس‌های حیاتی در مراکز داده می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-60723
2. https://www.cvedetails.com/cve/CVE-2025-60723/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60723
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-60723
5. https://vuldb.com/?id.331978
6. https://nvd.nist.gov/vuln/detail/CVE-2025-60723
7. https://cwe.mitre.org/data/definitions/362.html
8. https://cwe.mitre.org/data/definitions/416.html