CVE-2025-62213

چکیده

آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) در درایور کمکی WinSock ویندوز (Ancillary Function Driver for WinSock) شناسایی شده است. این ضعف امنیتی به مهاجم لوکال با دسترسی پایین اجازه می‌دهد تا با موفقیت در یک شرایط رقابتی (race condition)، سطح دسترسی خود را به سطح SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-62213 در درایور کمکی WinSock ویندوز (Ancillary Function Driver for WinSock) ناشی از ضعف استفاده پس از آزادسازی مطابق باCWE-416 است؛ یعنی اشاره‌گری که حافظه مربوط به آن آزاد شده، مجدداً مورد استفاده قرار می‌گیرد. این درایور در سطح کرنل فعالیت کرده و بخشی از پیاده‌سازی ارتباطات مبتنی بر سوکت در ویندوز است.

در این سناریو، مهاجم لوکال با دسترسی پایین می‌تواند با ایجاد شرایط خاص و موفقیت در یک شرایط رقابتی (race condition) مسیر اجرای برنامه را کنترل کرده، اشاره‌گر آزادشده را دستکاری کند و در نهایت کد دلخواه خود را با سطح دسترسی کرنل اجرا نماید. حاصل این بهره‌برداری، افزایش سطح دسترسی به SYSTEM است. بهره‌برداری از این آسیب پذیری نیاز به زمان‌بندی دقیق دارد، اما مهاجم با موفقیت در شرایط رقابتی، می‌تواند به‌طور کامل محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم را تهدید کند. این حمله کاملاً لوکال است و نیازی به تعامل کاربر ندارد. از آن‌جایی که این درایور روی مسیر I/O شبکه سوار است، primitive ایجاد شده توسط مهاجم معمولاً یک write-what-where محدود اما قابل توسعه فراهم می‌کند که برای پرش به اجرای کد کرنل یا ترفیع سطح دسترسی کافی است.

پیامدهای این آسیب‌پذیری بسیار جدی است؛ مهاجم می‌تواند از یک حساب کاربری معمولی به بالاترین سطح دسترسی (SYSTEM) برسد، بدافزار نصب کند، داده‌ها را سرقت یا رمزگذاری نماید و حتی از آن در حملات زنجیره‌ای به‌عنوان گام اولیه برای دور زدن مکانیزم‌های امنیتی ویندوز بهره ببرد. این ضعف با انتشار پچ‌های امنیتی نوامبر 2025 به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Ancillary Function Driver for WinSock و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در درایور WinSock ویندوز، از طریق استفاده پس از آزادسازی، امکان افزایش سطح دسترسی لوکال به SYSTEM را فراهم می‌کند. با توجه به گستردگی نسخه‌های آسیب‌پذیر و انتشار پچ رسمی، اجرای فوری اقدامات زیر ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های ویندوز را با پچ امنیتی نوامبر 2025 به‌روزرسانی کنید. به روزرسانی، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• فعال‌سازی به روزرسانی خودکار ویندوز (Windows Update): اطمینان حاصل کنید که به‌روزرسانی‌ها به‌صورت خودکار نصب می‌شوند.
• محدودسازی حساب‌های کاربری: از حساب‌های استاندارد (غیر Administrator) برای فعالیت های روزمره استفاده کنید تا سطح حمله کاهش یابد.
• فعال‌سازی مکانیزم‌های کاهش حمله: ویژگی‌هایی مانند محافظ اعتبار (Credential Guard)، محافظ دستگاه (Device Guard) و یکپارچگی کد حفاظت‌شده با ماشین مجازی (HVCI) را فعال کنید.
• نظارت بر عملکرد کرنل: از ابزارهای شناسایی و پاسخ به تهدیدات (EDR/XDR) برای شناسایی عملکردهای مشکوک در درایورها و شرایط رقابتی استفاده کنید.
• ایزوله‌سازی سیستم‌های حیاتی: سرورهای حساس را در شبکه‌های جداگانه و با حداقل دسترسی لوکال قرار دهید.

اجرای سریع به روزرسانی رسمی و رعایت سایر اقدامات پیشگیرانه، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت سیستم‌های ویندوز را به‌طور چشمگیری افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)

مهاجم با سوءاستفاده از شرایط رقابتی روی درایور AFD.sys اشاره‌گر آزادشده را دوباره به مسیر دلخواه هدایت کرده و اجرای کد در سطح کرنل را رقم می‌زند. این اجرای کد می‌تواند شامل بارگذاری شِل‌کد، دستکاری ساختارهای داخلی ویندوز یا ایجاد Thread در context کرنل باشد.

Privilege Escalation (TA0004)

این تاکتیک هسته‌ی حمله. UAF در AFD.sys است. امکان جهش از یک کاربر Low-priv به سطح SYSTEM را فراهم می‌کند. مهاجم می‌تواند Token پروسس را عوض کند، هویت SYSTEM را تزریق کند یا یک پروسس جدید با سطح بالاتر بسازد.

Defense Evasion (TA0005)

با اجرای کد در کرنل، مهاجم می‌تواند مکانیزم‌های امنیتی مثل EDR Hookها، Kernel Callbacks یا Driver Signing Enforcement را دور بزند. همچنین امکان پاک‌سازی لاگ‌های ETW و event tracing وجود دارد.

Credential Access (TA0006)

بعد از رسیدن به SYSTEM، مهاجم می‌تواند LSASS را دامپ کند، دسترسی به توکن‌ها یا Secrets داخلی را بگیرد و مسیر برای سرقت اعتبارنامه‌ها را باز کند.

Lateral Movement (TA0008)

سیستم مورد نفوذ می‌تواند تبدیل به نقطه لنگر مهاجم شود. با سطح SYSTEM، مهاجم می‌تواند سرویس‌های RDP، SMB یا WinRM را راه‌اندازی یا دستکاری کرده و به سایر سیستم‌های شبکه حرکت کند.

Impact (TA0040)

اجرای کد در کرنل یعنی full compromise مهاجم می‌تواند داده‌ها را سرقت کرده و فایل‌ها را تغییر دهد، سیستم را ناپایدار کند یا Payload های پایداری عمیق مثل kernel rootkit نصب کند. اثرگذاری در محرمانگی، یکپارچگی و دسترس‌پذیری هر سه در سطح بالا است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-62213
2. https://www.cvedetails.com/cve/CVE-2025-62213/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62213
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-62213
5. https://vuldb.com/?id.331995
6. https://nvd.nist.gov/vuln/detail/CVE-2025-62213
7. https://cwe.mitre.org/data/definitions/416.html