وبلاگ

آسیب پذیری در ویندوز 11: دسترسی مدیر تنها در 300 میلی ثانیه

ویندوز 11
23 آوریل

در تازه‌ترین گزارش امنیتی، پژوهشگران از شناسایی آسیب‌پذیری خطرناکی در ویندوز 11 خبر داده‌اند که با شناسه CVE-2025-24076 ثبت شده است. این نقص امنیتی به مهاجمان اجازه می‌دهد تنها در 300 میلی‌ثانیه، سطح دسترسی کاربر عادی را به Administrator ارتقا دهند. این آسیب‌پذیری از طریق روش DLL Hijacking در مولفه Host Cross Device Experience مورد سوءاستفاده قرار می‌گیرد.

جزئیات فنی آسیب پذیری

در این حمله، مهاجم از مسیری قابل نوشتن برای کاربران عادی استفاده می کند:

%PROGRAMDATA%\CrossDevice\CrossDevice.Streaming.Source.dll

سیستم ابتدا این فایل DLL را با دسترسی پایین اجرا کرده، سپس همان فایل توسط یک سرویس دارای دسترسی بالا بارگزاری می شود. اگر مهاجم این فایل را با نسخه ای مخرب جایگزین کند، می تواند به راحتی کد دلخواه خود را با دسترسی سطح SYSTEAM اجرا نماید.

ابزار ها و تکنیک های مورد استفاده

شناسایی مسیر های آسیب پذیر

محققان با استفاده از ابزار PrivescCheck مسیر هایی را که قابلیت نوشتن توسط کاربران عادی دارند را شناسایی کردند:

Unprivileged user has modify access to:
C:\ProgramData\CrossDevice\CrossDevice.Streaming.Source.dll

رهگیری و بازنویسی API با Microsoft Detours

برای کنترل اجرای کد در DLL، از کتابخانه رسمی Microsoft Detoues استفاده شده است. این ابزار به توسعه دهندگان اجازه می دهد که فراخوانی های API ویندوز را رهگیری کرده و عملکرد دلخواه خود را به آن تزریق کنند:

DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourAttach(&(PVOID&)Real_GetFileVersionInfoExW, Hooked_GetFileVersionInfoExW);
DetourTransactionCommit();

پیاده سازی DLL مخرب به صورت پروکسی

DLL مخرب به گونه ای طراحی شده که عملکرد اصلی را حفظ کرده و هم زمان کد مخرب را اجرا می کند:

// Proxy function that calls original
HRESULT __stdcall Hooked_GetFileVersionInfoExW(...) {
// اجرای بار مخرب
ExecutePayload();

// اجرای نسخه اصلی برای جلوگیری از شناسایی
return Real_GetFileVersionInfoExW(...);
}

وصله امنیتی مایکروسافت و اقدامات توصیه شده

مایکروسافت در مارس 2025 به روزرسانی امنیتی برای رفع این آسیب پذیری منتشر کرد. از کاربران درخواست شده است تا:

  1. سیستم عامل خود را به آخرین نسخه بروزرسانی کنند.
  2. از ابزارهای EDR برای شناسایی رفتار های مشکوک استفاده نمایند
  3. دسترسی کاربران به مسیرهای سیستمی را محدود کنند
  4. تغییرات غیرمجاز در مسیر های DLL را نظارت کنند

نتیجه گیری

آسیب پذیری CVE-2025-24076 بار دیگر نشان داد که حتی جدیدترین نسخه های ویندوز نیز ممکن است دارای نقاط ضعف بحرانی باشند. پیاده سازی اصول امنیتی، به روزرسانی مداوم و بهره گیری از ابزار های نظارتی پیشرفته تنها راه مقابله با این تهدیدات روزافزون است.

جدیدتر ساخت سرور agent هوش مصنوعی
بازگشت به لیست
قدیمی تر تنظیم آی پی روی سوئیچ سیسکو

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *