CVE-2025-59230 — آسیب‌پذیری افزایش امتیاز در Windows Remote Access Connection Manager (RASMan)

CVE-2025-59230 یک آسیب‌پذیری از نوع Elevation of Privilege (افزایش امتیاز) در سرویس Windows Remote Access Connection Manager (RASMan) است که به یک کاربر محلی با امتیازات پایین امکان می‌دهد امتیازات خود را به سطح SYSTEM ارتقاء دهد. مایکروسافت این مشکل را در به‌روزرسانی Patch Tuesday اکتبر ۲۰۲۵ اصلاح کرده و شواهدی از بهره‌برداری فعال در طبیعت (in-the-wild) گزارش شده است.

RASMan سرویسی است که در ویندوز برای مدیریت اتصالات راه‌دور (مانند VPN و dial-up) استفاده می‌شود و معمولاً با امتیازات بالا اجرا می‌شود. نقص‌های افزایش امتیاز (EoP) از آنجا خطرناک‌اند که مهاجم پس از حصول دسترسی ابتدایی (مثلاً اکانت کاربری محلی یا اجرای کد با امتیازات پایین) می‌تواند کنترل کامل سیستم را به‌دست آورد؛ کاری که می‌تواند منجر به نصب بدافزار، غیرفعال‌سازی مکانیزم‌های دفاعی، و حرکت جانبی در شبکه شود. در این مورد خاص، NVD می‌گوید ضعف از نوع «کنترل دسترسی نامناسب» (CWE-284) است و معیارهای CVSS نشان‌دهنده شدت بالا (CVSS v3.1: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) است.

خلاصه فنی (در سطح متوسط)

• مولفه آسیب‌پذیر: Windows Remote Access Connection Manager (RASMan). Microsoft Security Response Center

• نوع ضعف: Improper Access Control — یعنی بررسی‌های دسترسی/مجوز به‌درستی انجام نمی‌شود و عملیاتی که باید تنها با امتیازات بالاتر انجام شود، قابل فراخوانی توسط کاربر کم‌امتیاز است. NVD

• برد حمله: محلی (Local) — مهاجم باید پیش از آن توانایی اجرای کد یا اتصال محلی داشته باشد. NVD

• امتیاز و تأثیر: امتیاز بالای CVSS و تأثیر زیاد روی محرمانگی، صحت و دسترسی سیستم (C:H / I:H / A:H).

وضعیت اصلاح و بهره‌برداری در دنیا (در طبیعت)

مایکروسافت این آسیب‌پذیری را در به‌روزرسانی امنیتی ماه اکتبر ۲۰۲۵ اصلاح کرده است؛ گزارش‌ها همچنین نشان می‌دهند که CVE-2025-59230 به‌عنوان یک «zero-day» در طبیعت مورد بهره‌برداری قرار گرفته — یعنی مهاجمان فعالاً آن را برای ارتقای امتیازات استفاده کرده‌اند. این امر اهمیت به‌روزرسانی سریع سیستم‌ها را افزایش می‌دهد.

چه سیستم‌هایی در خطرند؟

هر سیستمی که سرویس RASMan فعال داشته باشد و هنوز وصله مایکروسافت را نگرفته باشد در معرض خطر است. از آنجا که RASMan در بسیاری از نسخه‌های ویندوز برای پشتیبانی از VPN و اتصالات راه‌دور وجود دارد، دامنهٔ بالقوهٔ تأثیر می‌تواند شامل کلاینت‌ها و سرورهای ویندوز در سازمان‌ها باشد.

توصیه‌های کاربردی (گام‌به‌گام برای مدیران و کاربران)

1. فوری — نصب به‌روزرسانی مایکروسافت: سریع‌ترین و مؤثرترین اقدام، نصب بسته‌های امنیتی منتشرشده توسط مایکروسافت برای اکتبر ۲۰۲۵ است. مایکروسافت راهنمای به‌روزرسانی و شناسه CVE را منتشر کرده است.

2. تشدید کنترل دسترسی محلی: دسترسی ورود محلی (Interactive Logon) را فقط به حساب‌های مورد نیاز محدود کنید و اصل کمترین امتیاز (Least Privilege) را دنبال کنید.

3. غیرفعال/محدود کردن RASMan (در صورت امکان): اگر در محیط شما استفاده‌ای از RasMan/Remote Access وجود ندارد، سرویس را غیرفعال یا محدود کنید تا سطح حمله کاهش یابد. (نکته: قبل از غیرفعال‌سازی در محیط‌های تولید، تأثیر آن را بررسی کنید.)

4. پایش و تشخیص: قوانین SIEM/EDR را برای شناسایی علائم رایج افزایش امتیاز (مثلاً فراخوانی پروسه‌هایی که به‌طور ناگهانی با امتیازات SYSTEM اجرا می‌شوند، یا تغییرات در سرویس‌ها و رجیستری) فعال کنید. گزارش‌سازی و آلارم‌گذاری برای رفتارهای غیرعادی کاربری محلی حیاتی است.

5. بررسی برای شواهد بهره‌برداری: به‌دنبال سرویس‌ها یا باینری‌هایی باشید که رفتار غیرعادی از خود نشان می‌دهند، همچنین لاگ‌های امنیتی برای نمونه‌هایی از اجرای فرمان با امتیازات بالا یا ثبت کاربرانی که ناگهانی امتیازات بالاتر گرفته‌اند. منابع تحلیلی ادعا می‌کنند که این آسیب‌پذیری قبلاً در طبیعت بهره‌برداری شده است؛ بنابراین جستجو برای Indicators of Compromise (IoCs) منطقی است.

نمونه چک‌لیست سریع برای تیم‌های امنیتی

• آیا سیستم‌ها به‌روزرسانی اکتبر ۲۰۲۵ را دریافت کرده‌اند؟ (بله → خوب؛ خیر → فوراً نصب کنید).

• آیا RASMan در دستگاه‌های غیرضروری فعال است؟ (بله → بررسی و غیرفعال‌سازی در صورت امکان).

• آیا EDR/AV لاگ‌هایی درباره ارتقاهای مجوز اخیر ثبت کرده‌اند؟ (بررسی کنید).

• آیا دسترسی حساب‌های کاربری محدود و مطابق با اصل Least Privilege است؟

جمع‌بندی

CVE-2025-59230 یک ضعف دسترسی نامناسب در سرویس RASMan است که امکان افزایش امتیاز محلی را به SYSTEM می‌دهد. به‌دلیل وجود شواهد بهره‌برداری فعال و شدت بالای تأثیر، این آسیب‌پذیری باید در اولویت اصلاح قرار گیرد: نصب وصلهٔ مایکروسافت، محدود کردن دسترسی محلی، و فعال‌سازی تشخیص رفتارهای غیرعادی همگی گام‌های لازم هستند.