ارتقاء دسترسی SYSTEM در ویندوز ۱۱ از طریق جایگزینی DLL آسیب‌پذیر (CVE‑۲۰۲۵‑۲۴۰۷۶)

این مقاله بررسی می‌کند که چگونه یک توسعه‌دهنده امنیتی با نام Mohammed Idrees Banyamer، یک PoC برای بهره‌برداری از CVE‑۲۰۲۵‑۲۴۰۷۶ در ویندوز ۱۱ آماده کرده است. وی از آسیب‌پذیری دسترسی ناکافی در سرویس Cross Device استفاده کرده و با جایگزینی DLL حیاتی می‌تواند کد را با دسترسی SYSTEM اجرا کند. شرح مراحل فنی، پیش‌نیازها و نکات مقابله در این متن آمده است.

این PoC توسط Mohammed Idrees Banyamer از اردن تهیه شده و برای ویندوز ۱۱ نسخه‌های 24H2، 23H2، 22H2 و همچنین ویندوز سرور ۲۰۲۵/۲۰۲۲ ارائه شده است  درجهٔ شدت براساس استاندارد CVSS v3.1 برابر ۷.۳ («مهم») اعلام شده و ضعف اصلی از نوع CWE‑۲۸۴: Improper Access Control است.

در این حمله، فایل DLL آسیب‌پذیر CrossDevice.Streaming.Source.dll در مسیر C:/ProgramData/CrossDevice قرار دارد. این مسیر توسط سرویس Cross Device ویندوز برای بارگذاری DLL استفاده می‌شود، اما دسترسی نوشتن در آن برای حساب‌هایی با سطح پایین نیز ممکن است .

مهاجم ابتدا وجود این DLL را بررسی کرده، سپس یک DLL مخرب در زبان C آماده می‌سازد که به هنگام بارگذاری، قادر به اجرای کدی برای ایجاد فایل "C:\\poc_only_admin_can_write_to_c.txt" با دسترسی SYSTEM است. این DLL توسط MinGW/gcc کامپایل می‌شود.

پس از ساخت DLL مخرب، نسخهٔ اصلی DLL اصلی پشتیبان‌گیری می‌شود. سپس مهاجم کاربر را دعوت می‌کند تا Settings → Mobile Devices را باز کند تا سیستم DLL را بارگذاری کند. در این هنگام، مهاجم منتظر می‌ماند تا فایل DLL آزاد شود و نسخهٔ مخرب جایگزین شود

زمانی که سرویس ویندوز بارگذاری DLL را انجام دهد، کد مخرب با دسترسی SYSTEM اجرا شده و سطح دسترسی مهاجم ارتقاء می‌یابد. این فرآیند نسبتاً ساده است، نیازمند تعامل اندکی از کاربر و دانش پایه‌ای برنامه‌نویسی در محیط ویندوز است.

برای جلوگیری از این حمله توصیه می‌شود: مسیر مذکور را فقط در دسترس حساب‌های دارای سطح بالا قرار دهید، بررسی مجوز فایل‌ها را فعال کنید و در سریع‌ترین زمان ممکن پچ رسمی ویندوز را از طریق بروزرسانی‌های مایکروسافت اعمال نمایید.

Exploit-DB PoC (52320)

اطلاعات اولیه Exploit-DB (صفحه مرجع)