CVE-2025-64679

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) در کامپوننت Windows DWM Core Library شناسایی شده است. این ضعف امنیتی به مهاجم لوکال احراز هویت‌شده با سطح دسترسی پایین اجازه می‌دهد تا دسترسی خود را به سطح SYSTEM افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-64679 در کامپوننت Windows DWM Core Library ناشی از ضعف سرریز بافر مبتنی بر هیپ مطابق با CWE-122 است. این کامپوننت بخشی از زیرسیستم Desktop Window Manager (DWM) در سیستم‌عامل ویندوز محسوب می‌شود؛ زیرسیستمی که مسئول مدیریت و ترکیب‌بندی المنت‌های گرافیکی دسکتاپ (Desktop Composition)، رندر افکت‌های بصری مانند شفافیت پنجره‌ها، پیش‌نمایش زنده (Live Preview) و انیمیشن‌های رابط کاربری است.

در این آسیب‌پذیری، به دلیل عدم اعتبارسنجی مناسب ورودی‌ها در فرآیند مدیریت بافرهای هیپ، امکان نوشتن داده خارج از محدوده تخصیص‌یافته وجود دارد. این ضعف به مهاجم لوکال احراز هویت‌شده با سطح دسترسی پایین اجازه می‌دهد از طریق اجرای کد یا ورودی‌های دستکاری‌شده در فضای کاربری، کتابخانه آسیب‌پذیر را به سمت شرایط سرریز هدایت کند. در نتیجه، مهاجم می‌تواند جریان اجرای کد را کنترل کرده و در نهایت سطح دسترسی خود را تا سطح SYSTEM افزایش دهد. این بخش از ویندوز حافظه‌ای با اندازه مشخص تخصیص می‌دهد اما بررسی نمی‌کند داده ورودی در این محدوده جا می‌شود یا نه؛ مهاجم با ارسال داده بزرگ‌تر یا دستکاری‌شده باعث می‌شود اطلاعات اضافی روی بخش‌های حساس حافظه نوشته شود.

این ضعف به‌سادگی قابل بهره‌برداری است؛ مهاجم می‌تواند بدون نیاز به تعامل کاربر و در اختیار داشتن یک حساب لوکال با دسترسی محدود ورودی‌های خاصی را به فرآیند DWM ارسال کند تا سرریز بافر رخ دهد. بردار حمله این آسیب‌پذیری لوکال بوده، نیازمند دسترسی پایین است و بدون نیاز به تعامل کاربر انجام می شود.

پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی از طریق دسترسی غیرمجاز به داده‌های حساس، تأثیر بالا بر یکپارچگی با امکان تغییر فایل‌ها و تنظیمات سیستمی و تأثیر بالا بر در دسترس‌پذیری از طریق ایجاد اختلال در فرآیند گرافیکی سیستم است. مایکروسافت این آسیب‌پذیری را با انتشار به‌روزرسانی‌های امنیتی دسامبر 2025 برای نسخه‌های آسیب‌پذیر ویندوز به‌طور کامل پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در کامپوننت Windows DWM Core Library به مهاجمان لوکال احراز هویت‌شده امکان افزایش سطح دسترسی به SYSTEM را می‌دهد. با توجه به انتشار پچ امنیتی رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری احتمالی و کاهش سطح ریسک توصیه می‌شود:

• به‌روزرسانی فوری: تمام سیستم‌های آسیب‌پذیر ویندوز را با پچ‌های امنیتی دسامبر 2025 به‌روزرسانی کنید. این اقدام مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل دارند و به کاهش ریسک این ضعف و حملات مشابه کمک می‌کنند.
• مانیتورینگ و تشخیص تهدید: از راهکارهای تشخیص و پاسخ به تهدید در سطح اندپوینت (EDR) مانند Microsoft Defender for Endpoint برای نظارت بر فعالیت‌های مشکوک مرتبط با فرآیند DWM و تغییرات سطح دسترسی استفاده کنید. همچنین، بررسی منظم لاگ‌های سیستمی و گرافیکی می‌تواند به شناسایی نشانه‌های احتمالی بهره‌برداری کمک کند.
• اصل حداقل دسترسی: سیاست حداقل سطح دسترسی (Least Privilege) را برای کاربران لوکال به‌طور جدی اعمال کنید و از اعطای دسترسی‌های غیرضروری، به‌ویژه در سیستم‌های حساس، خودداری نمایید.
• محدودسازی ویژگی‌های گرافیکی: در صورت عدم نیاز عملیاتی، برخی قابلیت های گرافیکی پیشرفته ویندوز مانند شفافیت پنجره‌ها و انیمیشن‌ها را غیرفعال کنید تا سطح حمله مرتبط با DWM کاهش یابد.
• تست و ارزیابی: پس از نصب به‌روزرسانی‌ها، سیستم‌ها را با ابزارهای اسکن آسیب‌پذیری و بررسی نسخه بیلد ارزیابی کنید تا اطمینان حاصل شود پچ‌ها به‌درستی اعمال شده‌اند.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت نظارت امنیتی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت کلی زیرساخت‌های ویندوزی را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

این آسیب‌پذیری نیازمند دسترسی لوکال اولیه با سطح دسترسی پایین است؛ مهاجم باید از قبل یک حساب کاربری معتبر روی سیستم داشته باشد یا از طریق روش‌های دیگر به اجرای کد در فضای کاربری دست یافته باشد. این ضعف به‌تنهایی نقطه ورود از راه دور ایجاد نمی‌کند و به‌عنوان مرحله دوم در زنجیره حمله استفاده می‌شود.

Execution (TA0002)

مهاجم با اجرای کد یا ارسال ورودی‌های دستکاری‌شده از فضای کاربری، مسیر اجرای کد را به کتابخانه DWM هدایت می‌کند. سرریز بافر هیپ باعث می‌شود داده خارج از محدوده نوشته شده و شرایط لازم برای کنترل جریان اجرا فراهم گردد.

Privilege Escalation (TA0004)

با سوءاستفاده از Heap-based Buffer Overflow در DWM Core Library، مهاجم می‌تواند کنترل اجرای کد را به دست گرفته و سطح دسترسی خود را از کاربر معمولی به SYSTEM افزایش دهد. این تاکتیک هسته اصلی آسیب‌پذیری محسوب می‌شود.

Defense Evasion (TA0005)

اجرای کد در قالب فرآیندهای سیستمی مرتبط با DWM می‌تواند شناسایی مستقیم حمله را دشوار کند، زیرا فعالیت مخرب در چارچوب یک مؤلفه قانونی سیستم‌عامل انجام می‌شود و ممکن است با رفتار عادی سیستم اشتباه گرفته شود.

Impact (TA0040)

پیامد نهایی شامل دسترسی کامل سیستمی، امکان تغییر تنظیمات حیاتی، دستکاری داده‌ها، نصب بدافزارهای پایدار و تضعیف کامل محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-64679
2. https://www.cvedetails.com/cve/CVE-2025-64679/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64679
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64679
5. https://vuldb.com/?id.335438
6. https://nvd.nist.gov/vuln/detail/CVE-2025-64679
7. https://cwe.mitre.org/data/definitions/122.html