جمعه / ۳ مرداد / ۱۴۰۴ Friday / 25 July / 2025
×
ارزیابی سریع نفوذ: معرفی و بررسی THOR APT Scanner
ابزاری برای ارزیابی فوری نفوذ و تشخیص تهدیدات فعال

ارزیابی سریع نفوذ: معرفی و بررسی THOR APT Scanner

یک آسیب‌پذیری در سرویس Cross Device ویندوز 11 (شامل نسخهٔ 24H2) اجازه می‌دهد تا با جایگزینی یک DLL، مهاجم با دسترسی پایین، به SYSTEM ارتقاء یابد. این PoC شامل مراحل ساخت DLL مخرب و زمان‌بندی مناسب است.
ارتقاء دسترسی SYSTEM در ویندوز ۱۱ از طریق جایگزینی DLL آسیب‌پذیر (CVE‑۲۰۲۵‑۲۴۰۷۶)

این مقاله بررسی می‌کند که چگونه یک توسعه‌دهنده امنیتی با نام Mohammed Idrees Banyamer، یک PoC برای بهره‌برداری از CVE‑۲۰۲۵‑۲۴۰۷۶ در ویندوز ۱۱ آماده کرده است. وی از آسیب‌پذیری دسترسی ناکافی در سرویس Cross Device استفاده کرده و با جایگزینی DLL حیاتی می‌تواند کد را با دسترسی SYSTEM اجرا کند. شرح مراحل فنی، پیش‌نیازها و نکات مقابله در این متن آمده است.

این PoC توسط Mohammed Idrees Banyamer از اردن تهیه شده و برای ویندوز ۱۱ نسخه‌های 24H2، 23H2، 22H2 و همچنین ویندوز سرور ۲۰۲۵/۲۰۲۲ ارائه شده است  درجهٔ شدت براساس استاندارد CVSS v3.1 برابر ۷.۳ («مهم») اعلام شده و ضعف اصلی از نوع CWE‑۲۸۴: Improper Access Control است.

در این حمله، فایل DLL آسیب‌پذیر CrossDevice.Streaming.Source.dll در مسیر C:/ProgramData/CrossDevice قرار دارد. این مسیر توسط سرویس Cross Device ویندوز برای بارگذاری DLL استفاده می‌شود، اما دسترسی نوشتن در آن برای حساب‌هایی با سطح پایین نیز ممکن است .

مهاجم ابتدا وجود این DLL را بررسی کرده، سپس یک DLL مخرب در زبان C آماده می‌سازد که به هنگام بارگذاری، قادر به اجرای کدی برای ایجاد فایل "C:\poc_only_admin_can_write_to_c.txt" با دسترسی SYSTEM است. این DLL توسط MinGW/gcc کامپایل می‌شود.

پس از ساخت DLL مخرب، نسخهٔ اصلی DLL اصلی پشتیبان‌گیری می‌شود. سپس مهاجم کاربر را دعوت می‌کند تا Settings → Mobile Devices را باز کند تا سیستم DLL را بارگذاری کند. در این هنگام، مهاجم منتظر می‌ماند تا فایل DLL آزاد شود و نسخهٔ مخرب جایگزین شود

زمانی که سرویس ویندوز بارگذاری DLL را انجام دهد، کد مخرب با دسترسی SYSTEM اجرا شده و سطح دسترسی مهاجم ارتقاء می‌یابد. این فرآیند نسبتاً ساده است، نیازمند تعامل اندکی از کاربر و دانش پایه‌ای برنامه‌نویسی در محیط ویندوز است.

برای جلوگیری از این حمله توصیه می‌شود: مسیر مذکور را فقط در دسترس حساب‌های دارای سطح بالا قرار دهید، بررسی مجوز فایل‌ها را فعال کنید و در سریع‌ترین زمان ممکن پچ رسمی ویندوز را از طریق بروزرسانی‌های مایکروسافت اعمال نمایید.

Exploit-DB PoC (52320)

اطلاعات اولیه Exploit-DB (صفحه مرجع)

نوشته های مشابه
CVE‑۲۰۲۱‑۴۱۷۷۳: نحوه کارکرد و راه‌های بهره‌برداری از ضعف path traversal و RCE در Apache 2.4.49/50
افشاگری ضعف مهم مسیرپویایی (Path Traversal) و اجرای کد در Apache HTTP Server (CVE‑2021‑41773)

CVE‑۲۰۲۱‑۴۱۷۷۳: نحوه کارکرد و راه‌های بهره‌برداری از ضعف path traversal و RCE در Apache 2.4.49/50

بررسی CVE‑۲۰۲۵‑۴۳۸۰: افزونه Ads Pro وردپرس در معرض خطر Local File Inclusion
آسیب‌پذیری بحرانی LFI در افزونه Ads Pro وردپرس (تا نسخه ۴.۸۹)

بررسی CVE‑۲۰۲۵‑۴۳۸۰: افزونه Ads Pro وردپرس در معرض خطر Local File Inclusion

CVE-2025-25257: تحلیل جامع SQL Injection بحرانی در FortiWeb + راهنمای رفع و پیشگیری
بحران SQL Injection در FortiWeb: از آسیب‌پذیری تا راهکار

CVE-2025-25257: تحلیل جامع SQL Injection بحرانی در FortiWeb + راهنمای رفع و پیشگیری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *