آسیب‌پذیری ۰-روزه در Windows Kernel در حال سوءاستفاده فعال برای ارتقاء سطح دسترسی

مایکروسافت به‌تازگی از یک آسیب‌پذیری حیاتی در هسته ویندوز (Windows Kernel) پرده برداشته که در حال حاضر توسط مهاجمان در دنیای واقعی مورد سوءاستفاده فعال قرار گرفته است.
این نقص امنیتی با شناسه CVE-2025-62215 شناخته می‌شود و به مهاجمان اجازه می‌دهد تا سطح دسترسی خود را افزایش دهند و کنترل کامل سیستم را به دست بگیرند.

جزئیات آسیب‌پذیری CVE-2025-62215

این حفره امنیتی از نوع ارتقاء سطح دسترسی (Privilege Escalation) است و در نحوه همزمانی (Synchronization) بین فرآیندهای مختلف در هنگام دسترسی به منابع مشترک در هسته ویندوز رخ می‌دهد.

به‌طور دقیق‌تر، آسیب‌پذیری به دلیل مدیریت نادرست حافظه و وقوع Race Condition در بخش memory management ایجاد می‌شود.
مایکروسافت این نقص را در دسته‌بندی‌های CWE-362 (Concurrent Execution using Shared Resource with Improper Synchronization) و CWE-415 (Double Free) قرار داده است.

در سناریوی حمله، مهاجم با ایجاد چندین Thread یا Process هم‌زمان می‌تواند ترتیب آزادسازی حافظه را دستکاری کند.
این کار باعث آزادسازی دوباره (Double Free) و در نتیجه خرابی حافظه (Memory Corruption) می‌شود — در این حالت مهاجم می‌تواند کد مخرب خود را در سطح سیستم (SYSTEM Privileges) اجرا کند.

شدت و دامنه آسیب‌پذیری

بر اساس گزارش رسمی مایکروسافت، این آسیب‌پذیری دارای امتیاز CVSS 3.1 برابر با 7.0 و سطح اهمیت Important است.
مایکروسافت در تاریخ ۱۱ نوامبر ۲۰۲۵ این آسیب‌پذیری را همراه با بسته به‌روزرسانی امنیتی منتشر کرد.

نکته نگران‌کننده اینجاست که مهاجم برای بهره‌برداری از این نقص، تنها به دسترسی محلی (Local Access) نیاز دارد — یعنی حتی کاربری با سطح دسترسی پایین در یک سیستم سازمانی می‌تواند از این ضعف برای دسترسی کامل به هسته سیستم استفاده کند.

هیچ تعامل کاربری (User Interaction) لازم نیست، بنابراین حمله می‌تواند به‌صورت خودکار از طریق اسکریپت‌ها یا برنامه‌های آلوده اجرا شود.

نحوه سوءاستفاده و اهداف حمله

بر اساس یافته‌های تیم Mandiant Threat Defense، چندین گروه تهدید فعال از جمله UNC6485 در حال سوءاستفاده از این آسیب‌پذیری در حملات هدفمند هستند.
هدف اصلی این حملات عبارت است از:

• سرقت داده‌های حساس سازمانی

• نصب Ransomware و قفل کردن سیستم‌ها

• ایجاد Backdoor برای دسترسی مداوم به شبکه

در برخی از گزارش‌ها، مهاجمان با استفاده از این نقص توانسته‌اند حساب‌های کاربری جدید با سطح Domain Admin ایجاد کرده و به سرورهای داخلی دسترسی پیدا کنند.

چرا این آسیب‌پذیری خطرناک است؟

سناریوی حمله CVE-2025-62215 در ظاهر ساده اما بسیار مؤثر است.
در محیط‌های سازمانی، جایی که کاربران متعددی با سطح دسترسی متفاوت در حال کار هستند، تنها یک حساب کاربری آلوده می‌تواند آغازگر زنجیره‌ای از حملات مخرب باشد.

به‌عنوان مثال:

• اگر یک کارمند فریب خورده و فایل آلوده‌ای را در سیستم خود اجرا کند،

• این فایل می‌تواند از طریق این آسیب‌پذیری کنترل هسته سیستم را به دست بگیرد،

• سپس مهاجم از همان سیستم برای گسترش دسترسی به کل دامنه شبکه استفاده می‌کند.

در چنین شرایطی، هیچ نرم‌افزار ضدویروسی قادر به جلوگیری از اجرای کد در سطح کرنل نیست، زیرا حمله در پایین‌ترین سطح سیستم عامل رخ می‌دهد.

نسخه‌های آسیب‌پذیر و وصله امنیتی

طبق اعلام مایکروسافت، نسخه‌های زیر در معرض خطر هستند:

• Windows 10 (تمام نسخه‌ها تا 22H2)

• Windows 11 (تا نسخه 23H2)

• Windows Server 2019، 2022

مایکروسافت در نسخه KB5038273 و به‌روزرسانی ماه نوامبر ۲۰۲۵ این نقص را وصله کرده است.
سازمان‌ها باید فوراً آخرین به‌روزرسانی را از طریق Windows Update یا WSUS نصب کنند.

اقدامات پیشگیرانه برای سازمان‌ها

علاوه بر نصب وصله، متخصصان امنیت شبکه باید چند گام حیاتی دیگر را نیز دنبال کنند:

1. محدودسازی حساب‌های کاربری محلی و جلوگیری از ایجاد حساب‌های غیرضروری.

2. غیرفعال کردن سرویس‌های غیرضروری در سطح سیستم و کرنل.

3. استفاده از EDR (مانند Microsoft Defender for Endpoint) برای شناسایی رفتارهای غیرعادی در سطح کرنل.

4. بررسی لاگ‌های سیستم برای تشخیص نشانه‌های ارتقاء سطح دسترسی.

5. استفاده از Application Whitelisting برای جلوگیری از اجرای فایل‌های ناشناخته.

همچنین توصیه می‌شود تیم‌های SOC به‌دنبال فعالیت‌هایی با الگوهای زیر باشند:

• دسترسی غیرعادی به فایل‌های سیستم

• اجرای چندین thread در فرآیندهای کاربری

• ایجاد ناگهانی فایل‌های DLL در مسیرهای Temp

جمع‌بندی و تحلیل نهایی

آسیب‌پذیری CVE-2025-62215 بار دیگر نشان داد که حملات سایبری روزبه‌روز عمیق‌تر و پیچیده‌تر می‌شوند — تا جایی که حتی هسته سیستم عامل نیز از خطر مصون نیست.
سازمان‌هایی که هنوز وصله‌های امنیتی را نصب نکرده‌اند، عملاً در معرض سوءاستفاده فوری قرار دارند، به‌ویژه در شبکه‌هایی که چندین کاربر دسترسی محلی دارند.

از آنجا که این حمله در سطح پایین سیستم اتفاق می‌افتد، راهکارهای امنیتی سنتی مانند آنتی‌ویروس‌ها توانایی شناسایی یا توقف آن را ندارند.
تنها با نظارت مداوم بر رفتارهای کرنل، مدیریت دقیق حساب‌های کاربری، و اعمال وصله‌های به‌موقع می‌توان خطر این آسیب‌پذیری را کاهش داد.

به‌طور کلی، این حادثه یادآور اهمیت حیاتی امنیت در لایه‌های پایین سیستم عامل است — جایی که حتی یک خطای کوچک در همزمان‌سازی حافظه می‌تواند به نفوذ کامل منجر شود.