آسیب‌پذیری CVE-2025-21420 در Windows Disk Cleanup Tool و بررسی PoC اجرای کد با دسترسی SYSTEM

اخیراً یک آسیب‌پذیری مهم و خطرناک با شناسه CVE-2025-21420 در ابزار Windows Disk Cleanup Tool (cleanmgr.exe) شناسایی شده است که می‌تواند به مهاجمان محلی اجازه اجرای کد با دسترسی SYSTEM را بدهد. این آسیب‌پذیری به روش DLL sideloading متکی است و به دلیل گستردگی استفاده از این ابزار، اهمیت ویژه‌ای دارد.

شرح آسیب‌پذیری

Windows Disk Cleanup Tool یکی از ابزارهای ویندوز است که برای پاکسازی فایل‌های غیرضروری و آزادسازی فضای دیسک استفاده می‌شود. آسیب‌پذیری CVE-2025-21420 ناشی از رفتار نادرست این ابزار در بارگذاری DLL‌ها است. در شرایط خاص، مهاجم می‌تواند یک DLL مخرب با نام مشخص را در مسیرهای خاص قرار داده و باعث بارگذاری آن توسط cleanmgr.exe شود.

این حمله از تکنیک معروف DLL sideloading استفاده می‌کند؛ جایی که برنامه‌های قانونی به صورت ناخواسته DLLهای مخرب را بارگذاری می‌کنند و کد دلخواه مهاجم با دسترسی‌های برنامه هدف اجرا می‌شود. در این مورد، کد مخرب با دسترسی SYSTEM اجرا خواهد شد که بالاترین سطح دسترسی در ویندوز است.

Proof of Concept (PoC)

محققان امنیتی یک PoC عملی برای این آسیب‌پذیری منتشر کرده‌اند که نشان می‌دهد چگونه می‌توان از این نقص استفاده کرد:

• ایجاد و کپی DLL مخرب (مثلاً dokannp1.dll) در مسیر مشخص

• اجرای دستور cleanmgr /sageset:2 که باعث بارگذاری DLL مخرب و اجرای کد می‌شود

این PoC به خوبی ضعف امنیتی این ابزار را نشان می‌دهد و تأکید می‌کند که مهاجمان با دسترسی محدود محلی می‌توانند دسترسی SYSTEM را به دست بیاورند.

تاثیرات و خطرات

اجرای کد با سطح دسترسی SYSTEM می‌تواند به مهاجم امکان کنترل کامل سیستم، نصب نرم‌افزارهای مخرب، سرقت داده‌ها، و تغییر تنظیمات امنیتی را بدهد. این آسیب‌پذیری به خصوص در محیط‌های شرکتی و سازمانی که امنیت اطلاعات اهمیت بالایی دارد، بسیار خطرناک است.

راهکارهای پیشنهادی

1. به‌روزرسانی سیستم: مایکروسافت این آسیب‌پذیری را در آپدیت‌های Patch Tuesday فوریه ۲۰۲۵ اصلاح کرده است. حتماً آخرین به‌روزرسانی‌های ویندوز را نصب کنید.

2. محدود کردن دسترسی: کاربران غیرضروری به اجرای cleanmgr.exe را محدود کنید.

3. نظارت بر سیستم: رفتارهای غیرعادی را با استفاده از ابزارهای امنیتی و مانیتورینگ شناسایی کنید.

4. آموزش کاربران: کاربران را در مورد خطرات اجرای فایل‌ها و DLLهای ناشناس آگاه کنید.

منابع

• مخزن PoC در گیت‌هاب
• دانلود از سرور اِی سایبر
• صفحه رسمی مایکروسافت درباره CVE-2025-21420