خانه » CVE-2025-64661
هشدار‌های سایبری

CVE-2025-64661

Windows Shell Elevation of Privilege Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 236 بازدید
  • شناسه CVE-2025-64661 :CVE
  • CWE-362 :CWE
  • yes :Advisory
  • منتشر شده: دسامبر 9, 2025
  • به روز شده: دسامبر 16, 2025
  • امتیاز: 7.8
  • نوع حمله: Race Condition
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Microsoft
  • محصول: Windows
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری از نوع شرایط رقابتی (Race Condition) در Windows Shell شناسایی شده است. این ضعف امنیتی برای مهاجم لوکال احراز هویت‌شده با سطح دسترسی پایین، امکان افزایش سطح دسترسی و فرار از محیط اجرایی ایزوله (sandboxed) را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-64661 در Windows Shell ناشی از اجرای همزمان با استفاده از منابع مشترک بدون همگام‌سازی مناسب مطابق با CWE-362 است. Windows Shell کامپوننت اصلی سیستم‌عامل ویندوز است که مسئول مدیریت رابط کاربری گرافیکی، اکسپلورر فایل‌ها، منوها و عملیات مرتبط با شل مانند کپی، حذف و اجرای فایل‌ها می‌باشد.

در این آسیب‌پذیری، عدم همگام‌سازی صحیح در دسترسی به منابع مشترک باعث ایجاد شرایط رقابتی (Race Condition) می‌شود که مهاجم می‌تواند از آن سوءاستفاده کند. این ضعف به مهاجم لوکال و احراز هویت‌شده با سطح دسترسی پایین اجازه می‌دهد جریان عملیات را در محیط ایزوله (مانند sandbox) دستکاری کند و سطح دسترسی خود را از سطح یکپارچگی پایین به سطح یکپارچگی متوسط افزایش دهد. این امر منجر به فرار از ایزولاسیون محیط اجرایی می‌گردد که تغییر دامنه (Scope Changed) را به همراه دارد. Race Condition در این آسیب‌پذیری به معنی سوءاستفاده از فاصله‌ی زمانی بین بررسی مجوز و اجرای عملیات در Windows Shell است که منجر به دور زدن sandbox و افزایش سطح یکپارچگی می‌شود.

بهره برداری از این ضعف مستلزم موفقیت در شرایط رقابتی است و بردار حمله لوکال می باشد. پیامدهای آن شامل تأثیر بالا بر محرمانگی با امکان دسترسی به داده‌های محدود شده، یکپارچگی با امکان دستکاری فایل‌ها و فرآیندها و در دسترس‌پذیری با امکان ایجاد اختلال یا توقف سرویس است. مایکروسافت این آسیب‌پذیری را با انتشار به‌روزرسانی‌های امنیتی دسامبر 2025 برای نسخه‌های آسیب‌پذیر ویندوز به‌طور کامل پچ کرده است و اعمال این به‌روزرسانی‌ها برای جلوگیری از سوءاستفاده‌های احتمالی آینده توصیه می‌شود.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 10.0.17763.0 before 10.0.17763.8146 32-bit Systems, x64-based Systems Windows 10 Version 1809
affected from 10.0.17763.0 before 10.0.17763.8146 x64-based Systems Windows Server 2019
affected from 10.0.17763.0 before 10.0.17763.8146 x64-based Systems Windows Server 2019 (Server Core installation)
affected from 10.0.20348.0 before 10.0.20348.4529 x64-based Systems Windows Server 2022
affected from 10.0.19044.0 before 10.0.19044.6691 32-bit Systems, ARM64-based Systems, x64-based Systems Windows 10 Version 21H2
affected from 10.0.19045.0 before 10.0.19045.6691 x64-based Systems, ARM64-based Systems, 32-bit Systems Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.7462 x64-based Systems Windows Server 2025 (Server Core installation)
affected from 10.0.26200.0 before 10.0.26200.7462 Unknown Windows 11 Version 25H2
affected from 10.0.22631.0 before 10.0.22631.6345 ARM64-based Systems Windows 11 version 22H3
affected from 10.0.22631.0 before 10.0.22631.6345 x64-based Systems Windows 11 Version 23H2
affected from 10.0.25398.0 before 10.0.25398.2025 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
affected from 10.0.26100.0 before 10.0.26100.7462 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.7462 x64-based Systems Windows Server 2025
affected from 10.0.14393.0 before 10.0.14393.8688 32-bit Systems, x64-based Systems Windows 10 Version 1607
affected from 10.0.14393.0 before 10.0.14393.8688 x64-based Systems Windows Server 2016
affected from 10.0.14393.0 before 10.0.14393.8688 x64-based Systems Windows Server 2016 (Server Core installation)

لیست محصولات بروز شده

Versions Platforms Product
10.0.17763.8146 32-bit Systems, x64-based Systems Windows 10 Version 1809
10.0.17763.8146 x64-based Systems Windows Server 2019
10.0.17763.8146 x64-based Systems Windows Server 2019 (Server Core installation)
10.0.20348.4529 x64-based Systems Windows Server 2022
10.0.19044.6691 32-bit Systems, ARM64-based Systems, x64-based Systems Windows 10 Version 21H2
10.0.19045.6691 x64-based Systems, ARM64-based Systems, 32-bit Systems Windows 10 Version 22H2
10.0.26100.7462 x64-based Systems Windows Server 2025 (Server Core installation)
10.0.26200.7462 Unknown Windows 11 Version 25H2
10.0.22631.6345 ARM64-based Systems Windows 11 version 22H3
10.0.22631.6345 x64-based Systems Windows 11 Version 23H2
10.0.25398.2025 x64-based Systems Windows Server 2022, 23H2 Edition (Server Core installation)
10.0.26100.7462 ARM64-based Systems, x64-based Systems Windows 11 Version 24H2
10.0.26100.7462 x64-based Systems Windows Server 2025
10.0.14393.8688 32-bit Systems, x64-based Systems Windows 10 Version 1607
10.0.14393.8688 x64-based Systems Windows Server 2016
10.0.14393.8688 x64-based Systems Windows Server 2016 (Server Core installation)

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Shell و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
887 site:.ir “Windows Shell” Windows Shell
278,000 site:.ir “Windows Server” Windows Server
986,000 site:.ir “Windows 10” Windows 10
492,000 site:.ir “Windows 11” Windows 11

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Windows Shell از نوع شرایط رقابتی است که به مهاجمان لوکال احراز هویت‌شده امکان فرار از محیط ایزوله (sandbox) و افزایش سطح دسترسی را می‌دهد. با توجه به انتشار پچ‌های امنیتی رسمی توسط مایکروسافت، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری احتمالی و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی فوری: تمام سیستم‌های آسیب‌پذیر ویندوز را با پچ‌های امنیتی دسامبر 2025 به‌روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • مانیتورینگ و تشخیص تهدید: از راهکارهای تشخیص و پاسخ به تهدید در سطح اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای نظارت بر فعالیت‌های مشکوک مرتبط با Windows Shell، تغییرات سطح یکپارچگی و تلاش‌های افزایش دسترسی استفاده کنید. همچنین، بررسی منظم لاگ‌های سیستمی می‌تواند به شناسایی نشانه‌های احتمالی کمک کند.
  • اصل حداقل دسترسی: سیاست حداقل سطح دسترسی (Least Privilege) را برای کاربران لوکال اعمال کنید و از اعطای دسترسی‌های غیرضروری، به‌ویژه در محیط‌های sandboxed، خودداری نمایید.
  • تقویت ایزولاسیون: ویژگی‌های ایزولاسیون ویندوز مانند AppContainer و کنترل یکپارچگی اجباری (MIC, Mandatory Integrity Control) را بررسی و تقویت کنید تا سطح حمله کاهش یابد.
  • تست و ارزیابی: پس از نصب به‌روزرسانی‌ها، سیستم‌ها را با ابزارهای اسکن آسیب‌پذیری و بررسی نسخه بیلد ارزیابی کنید تا اطمینان حاصل شود پچ‌ها به‌درستی اعمال شده‌اند.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت نظارت امنیتی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت کلی زیرساخت‌های ویندوزی را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)

برای بهره‌برداری از شرایط رقابتی، مهاجم ناچار به اجرای کد یا فرآیند در فضای کاربری است تا همزمانی لازم را در Windows Shell ایجاد کند. این اجرای اولیه، مقدمه‌ای برای تحریک Race Condition و ادامه زنجیره حمله است.

Privilege Escalation (TA0004)

هسته اصلی این آسیب‌پذیری در این مرحله رخ می‌دهد؛ سوءاستفاده از Race Condition در Windows Shell باعث می‌شود مهاجم از سطح دسترسی پایین یا محیط sandboxed به سطح یکپارچگی بالاتر (Medium/System) ارتقا یابد.

Defense Evasion (TA0005)

با فرار از محیط ایزوله (Sandbox Escape)، مهاجم محدودیت‌های امنیتی اعمال‌شده توسط AppContainer و Mandatory Integrity Control را دور می‌زند و از مرزهای کنترلی سیستم عبور می‌کند.

Impact (TA0040)

پیامد نهایی شامل دسترسی غیرمجاز به منابع محافظت‌شده سیستم، امکان دستکاری فایل‌ها و فرآیندهای سیستمی و در سناریوهای پیشرفته، زمینه‌سازی برای تثبیت دسترسی یا اجرای حملات ثانویه با سطح دسترسی بالاتر است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-64661
  2. https://www.cvedetails.com/cve/CVE-2025-64661/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64661
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64661
  5. https://vuldb.com/?id.335430
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-64661
  7. https://cwe.mitre.org/data/definitions/362.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.