- شناسه CVE-2025-64677 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: دسامبر 18, 2025
- به روز شده: دسامبر 19, 2025
- امتیاز: 8.2
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Spoofing
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Office Out-of-Box Experience
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری جعل (Spoofing) مبتنی بر Cross-site Scripting (XSS) در Office Out-of-Box Experience شناسایی شده است. این ضعف به مهاجم بدون نیاز به احراز هویت یا تعامل کاربر اجازه میدهد محتوای جعلی را تزریق کند و کاربران را با صفحات یا پیامهای بهظاهر معتبر فریب دهد.
توضیحات
آسیبپذیری CVE-2025-64677 از نوع جعل (Spoofing) ناشی از عدم خنثیسازی مناسب ورودیها در فرآیند تولید صفحات وب، مطابق با CWE-79 است. این ضعف در فرآیند Out-of-Box Experience (OOBE) سرویس Office رخ میدهد؛ فرآیندی که تجربه اولیه راهاندازی و تنظیم حساب برای کاربران جدید Office 365 یا Microsoft 365 را مدیریت میکند و شامل صفحات وب برای ورود، انتخاب طرح و پیکربندی اولیه است.
در این آسیبپذیری، سرویس ورودیهای کاربر را بهطور مناسب پاکسازی یا کدگذاری نمیکند و اجازه میدهد محتوای مخرب مستقیماً در صفحات OOBE تزریق شود. در نتیجه، مهاجم بدون نیاز به احراز هویت یا تعامل کاربر میتواند از طریق شبکه، پیلودهای مخرب را ارسال کند که در مرورگر قربانی اجرا شده و ظاهر صفحات معتبر Microsoft Office را جعل میکند.
این ضعف بهسادگی قابل بهرهبرداری است؛ مهاجم بدون دسترسی اولیه میتواند اسکریپتهایی را تزریق کند که منجر به جعل هویت در صفحات ورود، فیشینگ اعتبارنامههای مایکروسافت، سرقت کوکیهای نشست یا توکنهای احراز هویت و تغییر محدود محتوای نمایشی میشود.
پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی از طریق افشای اطلاعات حساس مانند اعتبارنامهها و تأثیر محدود بر یکپارچگی با امکان دستکاری محتوای صفحه است. مایکروسافت این آسیبپذیری را بهطور کامل در سرویس میزبان اختصاصی (exclusively-hosted service) پچ کرده است و کاربران نیازی به انجام هیچ اقدامی ندارند. این اقدام بخشی از سیاست شفافیت بیشتر در انتشار CVE برای سرویسهای میزبان است تا سازمانها از ریسکهای احتمالی آگاه شوند.
CVSS
| Score | Severity | Version | Vector String |
| 8.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at N/A | Office Out-of-Box Experience |
لیست محصولات بروز شده
| Versions | Product |
| Mitigated by Microsoft (No customer action required) | Office Out-of-Box Experience |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Out-of-Box Experience را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 401 | site:.ir “Out-of-Box Experience” | Out-of-Box Experience |
نتیجه گیری
این آسیبپذیری با شدت بالا در فرآیند Out-of-Box Experience (OOBE) سرویس Office به مهاجمان بدون نیاز به احراز هویت این امکان را میدهد که صفحات را جعل کرده و حملات فریبندهای انجام دهند. مایکروسافت این ضعف را بهطور کامل در سمت سرویس پچ کرده است و نیازی به اقدام دستی مشتریان ندارد. با این حال، برای کاهش ریسک و تقویت امنیت کلی، اجرای اقدامات زیر توصیه میشود:
- مانیتورینگ مداوم: لاگهای Microsoft 365 Defender و Azure AD Sign-in Logs را برای فعالیتهای مشکوک مرتبط با تزریق ورودی در صفحات OOBE یا تلاشهای فیشینگ نظارت کنید.
- پیادهسازی سیاست امنیتی محتوا (CSP): سیاست امنیتی محتوای سختگیرانه را در مرورگرها و برنامههای مرتبط با Office اعمال کنید تا از اجرای اسکریپتهای غیرمجاز جلوگیری شود.
- احراز هویت چندعاملی (MFA): احراز هویت چندعاملی (MFA) را برای تمام حسابهای Microsoft 365 اجباری کنید تا حتی در صورت سرقت اعتبار، دسترسی غیرمجاز به حسابها امکان پذیر نباشد.
- استفاده از فایروال اپلیکیشن وب (WAF): در صورت استفاده از گیتویهای سفارشی، فایروال اپلکیشن وب Azure را فعال کنید تا پیلودهای XSS فیلتر و مسدود شوند.
- آموزش کاربران: کاربران را نسبت به ریسک صفحات جعلی ورود و اهمیت بررسی آدرس URL در مراحل راهاندازی آگاه سازید و به آنها توصیه کنید از وارد کردن اعتبار در صفحات مشکوک خودداری کنند.
- بررسی دورهای: تنظیمات امنیتی Microsoft 365 را بهطور منظم با استفاده از ابزارهای Compliance Manager ارزیابی کنید تا از عدم وجود آسیبپذیریهای مشابه در محیطهای ابری اطمینان حاصل شود.
اجرای این اقدامات، بهویژه فعالسازی MFA و تقویت نظارت در کنار به روزرسانیهای امنیتی مایکروسافت، ریسک بهرهبرداری از این آسیبپذیری را بهطور قابلتوجهی کاهش داده و سطح امنیت حسابهای Office را افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم از طریق ارسال ورودی مخرب به صفحات وب Out-of-Box Experience در سرویس Office، بدون نیاز به احراز هویت یا تعامل کاربر، به نقطه شروع حمله دسترسی پیدا میکند. ضعف در پاکسازی ورودیها امکان تزریق مستقیم محتوای XSS را فراهم میکند.
Execution (TA0002)
کد مخرب JavaScript تزریقشده در مرورگر قربانی اجرا میشود و منجر به رندر شدن محتوای جعلی با ظاهر کاملاً معتبر Microsoft میگردد. این اجرای کد در بستر مرورگر و بدون کلیک یا اقدام کاربر انجام میشود.
Credential Access (TA0006)
اسکریپت تزریقشده میتواند صفحات جعلی ورود ایجاد کرده و اعتبارنامهها، توکنها یا کوکیهای نشست کاربران را جمعآوری کند. این دسترسی بهطور مستقیم محرمانگی حسابهای Microsoft 365 را تهدید میکند.
Defense Evasion (TA0005)
به دلیل میزبانی کامل سرویس توسط مایکروسافت و شباهت کامل صفحات جعلی به صفحات رسمی، تشخیص حمله برای کاربر و حتی برخی ابزارهای امنیتی دشوار است.
Collection (TA0009)
مهاجم میتواند دادههای واردشده توسط کاربر در صفحات جعلی مانند ایمیل، رمز عبور یا اطلاعات تنظیمات اولیه را جمعآوری کند. این دادهها مستقیماً از DOM مرورگر برداشت میشوند.
Exfiltration (TA0010)
اطلاعات جمعآوریشده میتواند از طریق درخواستهای HTTP/S عادی به زیرساخت مهاجم ارسال شود،.
Impact (TA0040)
اثر اصلی این آسیبپذیری، جعل هویت صفحات و فریب کاربران با پیامد مستقیم افشای اعتبارنامهها است. محرمانگی بهشدت تحت تأثیر قرار میگیرد و یکپارچگی محتوای نمایشی بهصورت محدود نقض میشود، اما اختلالی در دسترسپذیری سرویس ایجاد نمیشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-64677
- https://www.cvedetails.com/cve/CVE-2025-64677/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64677
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64677
- https://vuldb.com/?id.337554
- https://nvd.nist.gov/vuln/detail/CVE-2025-64677
- https://cwe.mitre.org/data/definitions/79.html
