CVE-2025-62549

چکیده

آسیب‌پذیری ارجاع به اشاره‌گر غیرقابل اعتماد در Windows Routing and Remote Access Service (RRAS) به مهاجم غیرمجاز اجازه می‌دهد با فریب کاربر و ارسال درخواست به یک سرور مخرب از طریق شبکه، کد دلخواه را از راه دور (RCE) اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-62549 در سرویس Windows RRAS، ناشی از ارجاع به اشاره‌گر غیرقابل اعتماد (Untrusted Pointer Dereference) مطابق با CWE-822 است. این سرویس که وظیفه مسیریابی (Routing)، VPN و دسترسی از راه دور را بر عهده دارد، در صورت بهره‌برداری می‌تواند منجر به اجرای کد دلخواه از راه دور شود.

مکانیزم حمله به این صورت است که مهاجم با فریب کاربر (Social Engineering) او را وادار می‌کند درخواستی به یک سرور مخرب ارسال کند؛ سپس سرور مخرب با بازگرداندن داده‌های دستکاری‌شده، موجب ارجاع به یک اشاره‌گر نامعتبر در سرویس RRAS می‌شود. این وضعیت می‌تواند منجر به کنترل جریان اجرای برنامه، اجرای کد دلخواه و در نهایت دسترسی کامل به سیستم شود.

بردار حمله این آسیب‌پذیری شبکه‌ای است و اگرچه به تعامل کاربر نیاز دارد، اما بدون نیاز به سطح دسترسی یا احراز هویت اولیه انجام می‌شود. پیامدهای این آسیب پذیری شامل تأثیر بالا بر محرمانگی (Confidentiality) از طریق دسترسی به داده‌های حساس، یکپارچگی (Integrity) با امکان تغییر سیستم و در دسترس‌پذیری (Availability) از طریق اختلال یا کرش سرویس است.

مایکروسافت این آسیب‌پذیری را در دسامبر 2025 به طور کامل پچ کرده است. علاوه‌براین، اسکریپت‌های تشخیص (Detection) و کاهش ریسک (Mitigation) نیز منتشر شده‌اند که نشان می‌دهند با توقف و غیرفعال‌سازی سرویس RRAS، اصلاح پیکربندی مرتبط در رجیستری و بررسی وضعیت سرویس و نقش مسیریابی، می‌توان ریسک بهره‌برداری را به‌طور موقت کاهش داد. این اسکریپت‌ها صرفاً اقدامات کمکی و موقتی محسوب می‌شوند و جایگزین نصب به‌روزرسانی‌های رسمی مایکروسافت برای رفع کامل آسیب‌پذیری نیستند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Routing and Remote Access Service و محصولات Windows Server ، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در سرویس Windows RRAS، امکان اجرای کد از راه دور را برای مهاجمان فراهم می‌کند. با توجه به انتشار پچ رسمی توسط مایکروسافت، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک، ضروری است:

• به‌روزرسانی فوری: تمام سیستم‌های آسیب‌پذیر ویندوز را با پچ‌های امنیتی دسامبر 2025 به‌روزرسانی کنید. این اقدام مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• غیرفعال‌سازی RRAS در صورت عدم نیاز: در صورت عدم نیاز عملیاتی، سرویس RRAS را غیرفعال کنید تا سطح حمله به‌طور قابل‌توجهی کاهش یابد.
• محدودسازی دسترسی شبکه: دسترسی به سرویس RRAS را از طریق فایروال تنها به شبکه‌ها و IPهای معتبر محدود کنید و پورت‌های مرتبط را به IPهای مجاز اختصاص دهید.
• اعمال اصل حداقل دسترسی: سرویس RRAS را با حداقل سطح دسترسی مورد نیاز اجرا کنید و از اجرای آن با نقش‌های غیرضروری خودداری نمایید.
• مانیتورینگ و تشخیص: از راهکارهای تشخیص و پاسخ به تهدید در سطح اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای شناسایی فعالیت‌های مشکوک مرتبط با RRAS استفاده کنید. تغییرات ناگهانی در سرویس یا تلاش‌های ارجاع به اشاره‌گر (Dereference) را بررسی نمایید و لاگ‌های Event Viewer (سیستم و امنیت) را برای نشانه‌های بهره‌برداری نظارت کنید.
• تست و ارزیابی: پس از اعمال پچ‌ها، نسخه بیلد سیستم را تأیید کنید و تست‌های نفوذ دوره‌ای برای شناسایی ضعف‌های مشابه انجام دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری و غیرفعال‌سازی سرویس در صورت عدم نیاز، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت زیرساخت‌های ویندوزی را به‌طور مؤثری تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
در سناریوی بهره‌برداری از CVE-2025-62549، دسترسی اولیه از طریق یک بردار شبکه‌ای و بدون نیاز به احراز هویت به‌دست می‌آید، اما تحقق آن منوط به وجود سرویس RRAS فعال روی سیستم هدف و همچنین فریب کاربر برای آغاز یک ارتباط خروجی است. شرط کلیدی این مرحله آن است که کاربر یا سرویس، تحت تأثیر مهندسی اجتماعی، درخواستی را به مقصدی که مهاجم کنترل می‌کند ارسال کند؛ به‌گونه‌ای که این ارتباط کاملاً در چارچوب رفتار عادی شبکه به نظر برسد و مکانیزم‌های کنترلی اولیه مانع آن نشوند.

Execution (TA0002)
پس از برقراری ارتباط، اجرای حمله در لحظه‌ای رخ می‌دهد که پاسخ دستکاری‌شده از سوی سرور مخرب به سرویس RRAS بازگردانده می‌شود. در این مرحله، شرط لازم، پردازش مستقیم داده دریافتی توسط RRAS بدون اعتبارسنجی کافی و استفاده از اشاره‌گرهای غیرقابل اعتماد است. نتیجه این وضعیت، انحراف جریان اجرای برنامه و فراهم شدن امکان اجرای کد دلخواه در بستر فرآیند سرویس می‌باشد، بدون آنکه مهاجم نیاز به بارگذاری فایل یا اجرای مستقیم دستور در سیستم هدف داشته باشد.

Privilege Escalation (TA0004)
از آنجا که سرویس RRAS معمولاً با سطح دسترسی بالا اجرا می‌شود، اجرای موفق کد در این زمینه می‌تواند منجر به ارتقای مؤثر سطح دسترسی شود. شرط تحقق این تاکتیک آن است که کد اجراشده در همان کانتکست سرویس باقی بماند و محدودیت‌های اضافی مانند Sandbox یا AppContainer اعمال نشده باشد. در این حالت، مهاجم عملاً به سطح دسترسی معادل سرویس سیستمی دست پیدا می‌کند، حتی اگر نقطه شروع حمله بدون هیچ امتیاز خاصی بوده باشد.

Defense Evasion (TA0005)
بهره‌برداری از این آسیب‌پذیری می‌تواند به‌گونه‌ای انجام شود که نشانه‌های آشکار روی دیسک یا لاگ‌های معمولی باقی نگذارد. شرط این امر آن است که حمله صرفاً از طریق ترافیک شبکه و در حافظه انجام شود و نیازی به ایجاد فایل یا تغییر پیکربندی پایدار نداشته باشد. به این ترتیب، رفتار مخرب در قالب ارتباطات ظاهراً معتبر RRAS پنهان می‌ماند و شناسایی آن برای ابزارهای نظارتی مبتنی بر امضا دشوارتر می‌شود.

Lateral Movement (TA0008)
در صورتی که سیستم هدف نقش مسیریابی یا دسترسی از راه دور را برای سایر بخش‌های شبکه ایفا کند، کد اجراشده می‌تواند به‌عنوان نقطه پرش برای حرکت جانبی مورد استفاده قرار گیرد. شرط این مرحله، دسترسی شبکه‌ای RRAS به سگمنت‌های دیگر و وجود اعتماد ضمنی میان این سرویس و سایر سیستم‌هاست. در چنین شرایطی، مهاجم قادر است از جایگاه به‌دست‌آمده برای تعامل با منابع داخلی بیشتر استفاده کند.

Impact (TA0040)
پیامد نهایی CVE-2025-62549 بسیار فراتر از یک نقص موضعی در یک سرویس شبکه‌ای است. اجرای کد از راه دور در بستر RRAS می‌تواند به از دست رفتن کامل محرمانگی داده‌ها، تغییر یا تخریب تنظیمات حیاتی سیستم و ایجاد اختلال گسترده در دسترس‌پذیری سرویس‌های وابسته منجر شود. با توجه به نقش محوری RRAS در VPN و دسترسی از راه دور، بهره‌برداری موفق می‌تواند اعتماد شبکه را تضعیف کرده و کل زیرساخت ارتباطی سازمان را در معرض کنترل مهاجم قرار دهد؛ وضعیتی که بازیابی آن نیازمند اقدامات فنی و عملیاتی پرهزینه خواهد بود

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-62549
2. https://www.cvedetails.com/cve/CVE-2025-62549/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62549
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-62549
5. https://vuldb.com/?id.335407
6. https://www.vicarius.io/vsociety/posts/cve-2025-62549-detection-script-rce-vulnerability-in-windows-routing-and-remote-access-service
7. https://www.vicarius.io/vsociety/posts/cve-2025-62549-mitigation-script-rce-vulnerability-in-windows-routing-and-remote-access-service
8. https://nvd.nist.gov/vuln/detail/cve-2025-62549
9. https://cwe.mitre.org/data/definitions/822.html