- شناسه CVE-2025-64678 :CVE
- CWE-122 :CWE
- yes :Advisory
- منتشر شده: دسامبر 9, 2025
- به روز شده: دسامبر 23, 2025
- امتیاز: 8.8
- نوع حمله: Heap-based buffer overflow
- اثر گذاری: Remote code execution(RCE)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری Heap-based Buffer Overflow در سرویس Windows RRAS، به مهاجم غیرمجاز اجازه میدهد، بدون نیاز به احراز هویت، با فریب یک کاربر عضو دامنه و وادار کردن او به ارسال یک درخواست از طریق Snap‑in مدیریتی RRAS به یک سرور مخرب، منجر به اجرای کد از راه دور روی سیستم هدف شود.
توضیحات
آسیبپذیری CVE-2025-64678 در سرویس Windows Routing and Remote Access Service (RRAS) ناشی از سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) مطابق با CWE-122 است. این ضعف زمانی رخ میدهد که سرویس RRAS در پردازش دادههای ورودی، اعتبارسنجی مناسبی روی اندازه و ساختار دادههای دریافتی انجام نمیدهد و در نتیجه، دادهها خارج از محدوده حافظه تخصیصیافته در هیپ نوشته میشوند. این عملکرد میتواند باعث خرابی حافظه و تغییر جریان اجرای برنامه شود.
RRAS یکی از سرویسهای حیاتی سیستمعامل ویندوز است که قابلیتهایی نظیر مسیریابی شبکه، دسترسی از راه دور، پیادهسازی VPN و مدیریت NAT را فراهم میکند و معمولاً در محیطهای سازمانی و دامنهای مورد استفاده قرار میگیرد. این آسیبپذیری در سناریوهایی بروز میکند که تعامل مدیریتی با این سرویس از طریق ابزارهای مدیریتی ویندوز انجام میشود.
در سناریوی بهرهبرداری، مهاجم میتواند یک کاربر عضو دامنه (Domain-Joined User) را فریب دهد تا با استفاده از Snap-in مدیریتی RRAS در کنسول MMC، یک درخواست مدیریتی را به سمت یک سرور مخرب ارسال کند. این سرور مخرب در پاسخ، دادههایی دستکاریشده و با اندازه یا ساختار غیرمنتظره بازمیگرداند. پردازش این دادهها توسط سرویس RRAS منجر به وقوع سرریز بافر در حافظه هیپ شده و شرایط لازم برای اجرای کد مخرب را فراهم میکند.
این حمله از نوع راه دور بوده و مهاجم برای انجام آن نیازی به احراز هویت یا داشتن دسترسی قبلی به سیستم هدف ندارد، با این حال تعامل کاربر یک پیشنیاز ضروری در زنجیره حمله محسوب میشود. مهاجم میتواند از روشهایی مانند مهندسی اجتماعی ساده یا ابزارهای خودکار برای هدایت کاربر به برقراری ارتباط با سرور مخرب استفاده کند. پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی از طریق افشای دادههای حساس، تأثیر بالا بر یکپارچگی با امکان تغییر فایلها و تنظیمات سیستمی و تأثیر بالا بر در دسترسپذیری از طریق ایجاد اختلال یا کرش سرویس است. این ضعف میتواند منجر به اجرای کد از راه دور (RCE) با سطح دسترسی سیستم شود که کنترل کامل دستگاه را در اختیار مهاجم قرار میدهد. این آسیبپذیری در بهروزرسانیهای امنیتی دسامبر 2025 مایکروسافت بهطور کامل پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.17763.0 before 10.0.17763.8027 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| affected from 10.0.17763.0 before 10.0.17763.8027 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.8027 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.4405 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.19044.0 before 10.0.19044.6575 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| affected from 10.0.19045.0 before 10.0.19045.6575 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| affected from 10.0.26100.0 before 10.0.26100.7171 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| affected from 10.0.26200.0 before 10.0.26200.7171 | Unknown | Windows 11 Version 25H2 |
| affected from 10.0.22631.0 before 10.0.22631.6199 | ARM64-based Systems | Windows 11 version 22H3 |
| affected from 10.0.22631.0 before 10.0.22631.6199 | x64-based Systems | Windows 11 Version 23H2 |
| affected from 10.0.25398.0 before 10.0.25398.1965 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.7171 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26100.0 before 10.0.26100.7171 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.14393.0 before 10.0.14393.8594 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| affected from 10.0.14393.0 before 10.0.14393.8594 | x64-based Systems | Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.8594 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| affected from 6.0.6003.0 before 6.0.6003.23624 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 |
| affected from 6.0.6003.0 before 6.0.6003.23624 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| affected from 6.1.7601.0 before 6.1.7601.28021 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| affected from 6.1.7601.0 before 6.1.7601.28021 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| affected from 6.2.9200.0 before 6.2.9200.25768 | x64-based Systems | Windows Server 2012 |
| affected from 6.2.9200.0 before 6.2.9200.25768 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.22869 | x64-based Systems | Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.22869 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.17763.8027 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| 10.0.17763.8027 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.8027 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.4405 | x64-based Systems | Windows Server 2022 |
| 10.0.19044.6575 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| 10.0.19045.6575 | x64-based Systems, ARM64-based Systems, 32-bit Systems | Windows 10 Version 22H2 |
| 10.0.26100.7171 | x64-based Systems | Windows Server 2025 (Server Core installation) |
| 10.0.26200.7171 | Unknown | Windows 11 Version 25H2 |
| 10.0.22631.6199 | ARM64-based Systems | Windows 11 version 22H3 |
| 10.0.22631.6199 | x64-based Systems | Windows 11 Version 23H2 |
| 10.0.25398.1965 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.7171 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26100.7171 | x64-based Systems | Windows Server 2025 |
| 10.0.14393.8594 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| 10.0.14393.8594 | x64-based Systems | Windows Server 2016 |
| 10.0.14393.8594 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| 6.0.6003.23624 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 |
| 6.0.6003.23624 | 32-bit Systems, x64-based Systems | Windows Server 2008 Service Pack 2 (Server Core installation) |
| 6.1.7601.28021 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 |
| 6.1.7601.28021 | x64-based Systems | Windows Server 2008 R2 Service Pack 1 (Server Core installation) |
| 6.2.9200.25768 | x64-based Systems | Windows Server 2012 |
| 6.2.9200.25768 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| 6.3.9600.22869 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.22869 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Routing and Remote Access Service و محصولات Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 316 | site:.ir “Routing and Remote Access Service” | Routing and Remote Access Service |
| 278,000 | site:.ir “Windows Server” | Windows Server |
| 986,000 | site:.ir “Windows 10” | Windows 10 |
| 492,000 | site:.ir “Windows 11” | Windows 11 |
نتیجه گیری
این آسیبپذیری با شدت بالا در سرویس Windows Routing and Remote Access Service (RRAS) امکان اجرای کد از راه دور را بدون احراز هویت فراهم میکند و میتواند امنیت سیستمهای عضو دامنه را تهدید کند. با توجه به انتشار پچهای رسمی دسامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام سیستمهای آسیبپذیر ویندوز را با پچهای امنیتی دسامبر 2025 بهروزرسانی کنید. به روزرسانی، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- محدودسازی دسترسی به RRAS: در صورت عدم نیاز عملیاتی، سرویس RRAS را غیرفعال کنید. همچنین دسترسی به Snap-in مربوط به RRAS را صرفاً به مدیران مورد اعتماد محدود کرده و با استفاده از سیاستهای گروهی (Group Policy)، اجرای این Snap-in را روی سیستمهای کاربران نهایی مسدود نمایید.
- نظارت و تشخیص تهدید: از راهکارهای تشخیص و پاسخ به تهدید در سطح اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای نظارت بر فعالیتهای مشکوک مرتبط با RRAS، تغییرات غیرعادی حافظه و اجرای کد غیرمجاز استفاده کنید. بررسی منظم لاگهای سیستم و شبکه نیز به شناسایی نشانههای اولیه بهرهبرداری کمک میکند.
- اصل حداقل دسترسی: اصل حداقل دسترسی را برای کاربران دامنه اعمال کنید و از حسابهای کاربری با دسترسی محدود برای فعالیتهای روزمره استفاده نمایید تا ریسک فریب کاربران کاهش یابد.
- محدودسازی شبکه: پورتها و پروتکلهای مرتبط با RRAS (مانند PPTP، L2TP، SSTP) را از طریق فایروال محدود کنید و فقط از منابع و آدرسهای شبکه معتبر اجازه دسترسی دهید.
- آموزش و آگاهی: مدیران سیستم و کاربران را نسبت به ریسکهای مهندسی اجتماعی، درخواستهای غیرمنتظره و عملکردهای مشکوک مرتبط با Snap-in مربوط به RRAS آگاه کنید تا احتمال فریب کاربران کاهش یابد.
- ارزیابی و تست: پس از نصب بهروزرسانیها، سیستمها را با ابزارهای اسکن آسیبپذیری ارزیابی کرده و نسخه بیلد سیستمعامل را بررسی کنید تا از اعمال صحیح و کامل پچها اطمینان حاصل شود.
اجرای این اقدامات، بهویژه بهروزرسانی سریع سیستمها و غیرفعالسازی سرویس RRAS در صورت عدم نیاز، میتواند ریسک بهرهبرداری از این آسیبپذیری را بهطور قابلتوجهی کاهش داده و سطح امنیت زیرساختهای ویندوزی را در برابر این تهدید و حملات مشابه بهطور مؤثر تقویت کند.
امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)
Initial Access (TA0001)
مهاجم از طریق User Execution با فریب کاربر دامنهدار برای ارسال درخواست مدیریتی از Snap-in RRAS به سرور کنترلشده، نقطه ورود اولیه ایجاد میکند؛ این تاکتیک وقتی مؤثر است که کاربر بدون آگاهی از خطرات، کنسول MMC را باز کرده و سرور مخرب را انتخاب نماید، بدون آنکه ابزارهای امنیتی مانند SmartScreen یا سیاستهای گروهی مانع تعامل شوند.
Execution (TA0002)
پس از فریب موفق، مهاجم با Native API از سرریز Heap-based Buffer Overflow در RRAS بهره میبرد تا دادههای دستکاریشده را پردازش کند و کد دلخواه را در محیط سرویس سیستم اجرا نماید؛ شرط کلیدی، عدم اعتبارسنجی اندازه دادهها در هیپ و اجرای RRAS در محیط دامنهای است که پردازش درخواست بدون تأخیر امنیتی رخ دهد.
Privilege Escalation (TA0004)
مهاجم از Exploitation for Privilege Escalation استفاده میکند تا از RCE اولیه در RRAS به دسترسی SYSTEM کامل دست یابد و کنترل سرویسهای حیاتی ویندوز را تسخیر کند؛ این گام زمانی به سرانجام میرسد که سرریز حافظه جریان اجرای برنامه را تغییر دهد و دستگاه فاقد ASLR کامل یا DEP باشد.
Lateral Movement (TA0008)
با Remote Services، مهاجم از RRAS آلوده برای پرش به سیستمهای دامنهای دیگر از طریق VPN یا NAT بهره میگیرد و اعتبارهای کاربر فریبخورده را گسترش میدهد؛ موفقیت وابسته به فعال بودن مسیریابی شبکه و عدم نظارت بر ترافیک مدیریتی MMC است.
Impact (TA0040)
این ضعف مهاجم را به تسلط کامل بر سیستمهای دامنهای میرساند، جایی که افشای دادههای سازمانی محرمانگی را دود میکند، دستکاری تنظیمات و فایلها یکپارچگی را نابود میسازد و کرش سرویسها دسترسپذیری را فلج مینماید؛ چنین نفوذی در محیطهای سازمانی، دریچهای برای حملات گستردهتر باز کرده و خوشبختانه با پچ دسامبر ۲۰۲۵ مایکروسافت مهار میگردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-64678
- https://www.cvedetails.com/cve/CVE-2025-64678/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64678
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64678
- https://vuldb.com/?id.335437
- https://nvd.nist.gov/vuln/detail/CVE-2025-64678
- https://cwe.mitre.org/data/definitions/122.html
