CVE-2025-60724

چکیده

آسیب‌پذیری بحرانی سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) در کامپوننت گرافیکی GDI+ (Graphics Device Interface Plus) مایکروسافت شناسایی شده است. این ضعف به مهاجم از راه دور اجازه می‌دهد بدون نیاز به احراز هویت و تنها با ارسال یک فایل تصویری یا سند مخرب (متافایل دستکاری‌شده)، کد دلخواه را روی سیستم قربانی اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-60724 از نوع سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) مطابق با CWE-122، در کامپوننت گرافیکی مایکروسافت و به‌ویژه درGDI+ (زیرسیستمی برای رندر تصاویر وکتوری دوبعدی، تصاویر و متن در برنامه‌های ویندوز) شناسایی شده است. این ضعف به‌دلیل عدم بررسی صحیح مرزهای بافر در حافظه هیپ هنگام پردازش متافایل‌های دستکاری‌شده (Metafiles) رخ می‌دهد. متافایل‌ها فرمت‌های گرافیکی برداری هستند که دستورات گرافیکی را ذخیره می‌کنند. دستکاری این متافایل‌ها به صورت مخرب، موجب نوشتن داده‌ها در خارج از مرزهای بافر می‌شود. این آسیب‌پذیری به مهاجم این امکان را می‌دهد که با ارسال یا آپلود یک سند (مانند فایل‌های آفیس) حاوی متافایل مخرب، ضعف موجود را فعال کرده و کد دلخواه را در زمینه فرآیند آسیب‌پذیر اجرا کند.

حمله از بردار شبکه استفاده می‌کند، به این معنی که مهاجم می‌تواند بدون نیاز به دسترسی فیزیکی یا لوکال، از راه دور و بدون تعامل کاربر از این آسیب‌پذیری سوءاستفاده کند. برای نمونه، در سناریوی وب‌سرویس‌های آسیب‌پذیر (مانند سرویس‌های پردازش اسناد در SharePoint یا وب‌اپلیکیشن‌هایی که فایل‌های آپلودشده را پردازش می‌کنند)، مهاجم می‌تواند اسناد حاوی متافایل‌های مخرب را آپلود کرده و بدون نیاز به دخالت قربانی، منجر به اجرای کد از راه دور (RCE) یا افشای اطلاعات حساس مانند محتوای حافظه شود. در سناریوی کلاینت، مهاجم ممکن است قربانی را فریب دهد تا سند مخرب را دانلود و باز کند، با این حال پیش‌نمایش (Preview Pane) در آفیس به عنوان بردار حمله محسوب نمی‌شود.

پیامدهای این آسیب‌پذیری تأثیرات قابل توجه بر محرمانگی، یکپارچگی و در دسترس‌پذیری است. برای مثال، ممکن است منجر به افشای داده‌های حساس مانند کلیدهای رمزنگاری یا اطلاعات کاربری، تغییر داده‌ها یا اجرای کد مخرب و همچنین کرش سیستم یا اختلالات پایدار در سیستم شود. دامنه تأثیر این آسیب‌پذیری معمولاً بدون تغییر باقی می‌ماند، به این معنی که بهره‌برداری تنها بر روی کامپوننت آسیب‌پذیر متمرکز است. با این حال، به دلیل استفاده گسترده GDI+ در برنامه‌هایی نظیر مرورگرها، پرینترها، پیش‌نمایش تصاویر و برنامه‌های شخص ثالث، احتمال وقوع حملات زنجیره‌ای مانند حمله به وب‌سرورها یا کلاینت‌های Office افزایش می‌یابد.

بهره‌برداری از این آسیب‌پذیری به‌راحتی قابل خودکارسازی است؛ مهاجم می‌تواند با استفاده از اسکریپت‌ها یا ابزارهای خودکار (مانند پایتون با کتابخانه‌های گرافیکی یا فریم‌ورک‌های اکسپلویت مثل Metasploit)، متافایل‌های مخرب را در درخواست‌های HTTP از راه دور آپلود کند و اجرای کد دلخواه (برای مثال، اجرای دستورات shell برای دسترسی root) را در سرورهای پردازش اسناد اعمال کند. مایکروسافت این ضعف را در نوامبر 2025 با انتشار به روزرسانی های امنیتی به‌طور کامل پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft Office، Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در کامپوننتGDI+ مایکروسافت، از طریق سرریز بافر هیپ امکان اجرای کد از راه دور را در اکوسیستم گسترده ویندوز و آفیس فراهم می کند و در سناریوهایی مانند آپلود اسناد مخرب به وب‌سرویس‌ها یا باز کردن فایل‌های آلوده می‌تواند منجر به نفوذ کامل، افشای داده‌های حساس یا اختلالات سیستمی شود. با توجه به انتشار پچ‌های امنیتی در به‌روزرسانی نوامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز و آفیس آسیب پذیر را به نسخه های پچ شده به‌روزرسانی کنید؛ اولویت اول باید برای سرورهای عمومی و کلاینت‌های متصل به اینترنت باشد. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند
• محدودسازی پردازش فایل: در وب‌سرویس‌ها و اپلیکیشن‌های پردازش سند (مانند SharePoint یا اپ‌های سفارشی)، آپلود متافایل‌ها و تصاویر را با استفاده از فایروال اپلیکیشن وب (WAF) مانند Azure WAF یا ModSecurity مسدود کنید و اسکن خودکار فایل‌ها با ابزارهای ضدبدافزار مانند Microsoft Defender را فعال سازید.
• ایزوله‌سازی فرآیندها: از فناوری‌هایی مانند ایزوله سازی ویندوز (Windows Sandbox) یا Hyper-V برای ایزوله اجرای اسناد آفیس استفاده کنید و دسترسی GDI+ را در برنامه‌های غیرضروری با AppLocker یا سیاست های گروهی (Group Policy) محدود نمایید.
• نظارت و ثبت لاگ: لاگ‌های پردازش گرافیکی (مانند Event IDهای مرتبط با GDI در Windows Event Viewer) را با ابزارهایی مانند Microsoft Sentinel یا سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) مانیتور کنید تا تلاش‌های آپلود مخرب شناسایی شود؛ سطح لاگ را به DEBUG افزایش دهید.
• تست امنیتی: سیستم‌ها را با ابزارهای اسکن مانند Nessus یا Qualys برای این آسیب پذیری تست کنید و از Fuzzing (تست تصادفی ورودی) برای ارزیابی پردازش متافایل بهره ببرید.
• آموزش کاربران و توسعه‌دهندگان: کاربران را در مورد ریسک باز کردن اسناد ناشناس آموزش دهید و توسعه‌دهندگان را به استفاده از APIهای امن GDI+ (مانند Direct2D به جای GDI legacy) ترغیب کنید.
• اقدامات موقتی: تا زمان اعمال پچ، پیش‌نمایش فایل در Outlook و Explorer را غیرفعال کنید و دسترسی شبکه به پورت‌های غیرضروری (مانند 445 برای SMB) را با فایروال ویندوز مسدود سازید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی آپلود فایل، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت پردازش گرافیکی در محصولات مایکروسافت را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورودی مهاجم از طریق شبکه و بدون نیاز به احراز هویت وارد می‌شود. معمولا به‌صورت آپلود یا ارسال یک فایل تصویری/متافایل دستکاری‌شده به سرویس‌هایی مثل SharePoint، وب‌اپ‌های پردازش سند یا ماژول‌های رندر سمت سرور صورت می گیرد. این ورودی آلوده پس از دریافت توسط کامپوننت گرافیکی مستقیماً وارد مسیر پردازش می‌شود و نیازی به تعامل کاربر یا قابلیت‌های اضافی ندارد.

Execution (TA0002)

به‌محض پردازش متافایل دستکاری‌شده، سرریز بافر روی هیپ منجر به تغییر جریان اجرای برنامه می‌شود و مهاجم می‌تواند پِی‌لود دلخواه خود را تزریق و اجرا کند. این اجرا در سطح فرآیند سرویس آسیب‌پذیر صورت می‌گیرد.

Defense Evasion (TA0005)

با توجه به اینکه ورودی به‌صورت یک فایل تصویری/سند عادی است، بسیاری از کنترل‌های امنیتی سطح فایل AV پایه ممکن است الگوی مخرب را تشخیص ندهند.

Credential Access (TA0006)

اگر RCE روی سرویس‌های سطح بالا رخ دهد، امکان خواندن حافظه و استخراج داده‌های حساس، توکن‌ها، session secrets، credential objects وجود دارد.

Discovery (TA0007)

پس از به‌دست‌آوردن اجرا روی سرویس، مهاجم می‌تواند با اجرای دستورات سیستم، اطلاعات شبکه، یوزرها، سرویس‌ها و مسیرهای ذخیره‌سازی را جمع‌آوری کند تا مرحله lateral movement را طراحی کند.

Lateral Movement (TA0008)

اگر سرویس آسیب‌پذیر در یک شبکه سازمانی به منابع دیگر متصل باشد مثلا ًSharePoint، File Servers یا AD-integrated systems، مهاجم می‌تواند با استفاده از توکن‌های دزدیده‌شده یا دستورات مستقیم روی ماشین به سمت سیستم‌های بعدی pivot کند.

Collection (TA0009)

با دسترسی سطح سرویس، مهاجم قادر است محتوا، فایل‌های ذخیره‌شده، کش برنامه‌ها یا داده‌های پردازش‌شده را استخراج کند.

Exfiltration (TA0010)

داده‌های جمع‌آوری‌شده می‌تواند از طریق کانال‌های معمول HTTP(S) خروجی گرفته شود، چون بسیاری از این سرویس‌ها از قبل outbound ترافیک مجاز دارند.

Impact (TA0040)

اجرای کد باعث می‌شود مهاجم بتواند سرویس‌های ویندوزی را مختل کند، داده‌ها را تخریب کند، سیستم را کرش دهد یا زنجیره حمله‌ی گسترده‌تر را راه‌اندازی کند؛ در محیط‌های سازمانی، این risk مستقیم از دست دادن محرمانگی، یکپارچگی و دسترس پذیری است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-60724
2. https://www.cvedetails.com/cve/CVE-2025-60724/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60724
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-60724
5. https://vuldb.com/?id.331979
6. https://nvd.nist.gov/vuln/detail/CVE-2025-60724
7. https://cwe.mitre.org/data/definitions/122.html