کشف آسیب‌پذیری جدید در Remote Desktop Client

مایکروسافت، شرکت مستقر در ایالات متحده، در به‌روزرسانی Patch Tuesday جولای ۲۰۲۵ خود، یک آسیب‌پذیری بحرانی (CVE-2025-48817) را در Microsoft Remote Desktop Client برطرف کرد. این آسیب‌پذیری، که امکان اجرای کد از راه دور (RCE) را از طریق سرورهای RDP مخرب فراهم می‌کند، به دلیل نقص در اعتبارسنجی مسیر (Path Traversal) و کنترل دسترسی نادرست ایجاد شده است. این نقص تمام نسخه‌های ویندوز از Server 2008 تا Windows 11 24H2 را تحت تأثیر قرار می‌دهد. مایکروسافت این آسیب‌پذیری را با امتیاز CVSS 8.8 به‌عنوان «مهم» طبقه‌بندی کرده و از کاربران خواسته است فوراً وصله‌های امنیتی را اعمال کنند.

جزئیات آسیب‌پذیری چیست؟

• شناسه: CVE-2025-48817

• نوع تهدید: اجرای کد از راه دور (Remote Code Execution)

• امتیاز CVSS: ۸.۸ (بالا)

• محصولات تحت تأثیر: Microsoft Remote Desktop Client در ویندوز (Server 2008 تا Windows 11 24H2)

• روش بهره‌برداری: مهاجمان با استفاده از سرور RDP مخرب می‌توانند هنگام اتصال کاربر به سرور، کد دلخواه را روی سیستم قربانی اجرا کنند.

• ضعف‌های فنی:

CWE-23: نقص در اعتبارسنجی مسیر (Relative Path Traversal)

CWE-284: کنترل دسترسی نادرست (Improper Access Control)

وضعیت: هیچ شواهدی از بهره‌برداری فعال در زمان انتشار گزارش وجود ندارد، اما وصله‌های امنیتی منتشر شده‌اند.

• راه‌حل: نصب به‌روزرسانی‌های KB5062553 و KB5062552 و وصله‌های مرتبط با نسخه‌های ویندوز.

این آسیب‌پذیری به مهاجمان اجازه می‌دهد با دور زدن محدودیت‌های دایرکتوری و اجرای کد با دسترسی‌های بالا، سیستم‌های قربانی را به خطر بیندازند، به‌ویژه اگر کاربر با حساب مدیریتی به سرور مخرب متصل شود.

چگونه این آسیب‌پذیری عمل می‌کند؟

1. ایجاد سرور مخرب: مهاجمان یک سرور RDP مخرب راه‌اندازی می‌کنند که حاوی کد مخرب است.

2. اتصال قربانی: کاربر با استفاده از Remote Desktop Client آسیب‌پذیر به سرور متصل می‌شود.

3. بهره‌برداری از نقص: نقص اعتبارسنجی مسیر به مهاجم اجازه می‌دهد کد دلخواه را روی سیستم قربانی اجرا کند.

4. اجرای کد: مهاجم می‌تواند برنامه نصب کند، داده‌ها را تغییر دهد یا حساب‌های جدیدی با دسترسی کامل ایجاد کند.

این حمله به دلیل معکوس کردن مدل امنیتی client-server (که در آن کلاینت به سرور اعتماد می‌کند) خطرناک است و نیاز به هوشیاری در استفاده از اتصالات RDP دارد.

وضعیت کنونی تهدید

تا ۱۲ تیر ۱۴۰۴، هیچ گزارش تأییدشده‌ای از بهره‌برداری فعال از CVE-2025-48817 وجود ندارد، اما عدم افشای عمومی این آسیب‌پذیری پیش از انتشار وصله، فرصتی حیاتی برای سازمان‌ها فراهم کرده است. پست‌های منتشرشده در X توسط حساب‌هایی مانند @fridaysecurity، @R4yt3d و @The_Cyber_News نشان‌دهنده توجه جامعه امنیت سایبری به این تهدید است. مایکروسافت، مستقر در ایالات متحده، تأکید کرده که نصب فوری به‌روزرسانی‌های امنیتی برای کاهش ریسک ضروری است. این شرکت همچنین سایر آسیب‌پذیری‌ها را در به‌روزرسانی جولای ۲۰۲۵ برطرف کرده که نشان‌دهنده تلاش گسترده برای تقویت امنیت محصولات خود است.

اقدامات لازم برای محافظت

برای محافظت در برابر این آسیب‌پذیری:

1. نصب به‌روزرسانی‌ها: وصله‌های امنیتی KB5062553 و KB5062552 را از طریق Windows Update یا Microsoft Update Catalog نصب کنید.

2. فعال‌سازی NLA: احراز هویت در سطح شبکه (Network Level Authentication) را برای اتصالات RDP فعال کنید.

3. محدود کردن دسترسی: از اتصال به سرورهای RDP غیرمعتبر خودداری کنید و RDP را پشت VPN یا فایروال قرار دهید.

4. نظارت بر شبکه: از ابزارهای SIEM و EDR برای شناسایی فعالیت‌های مشکوک استفاده کنید.

5. پشتیبان‌گیری منظم: از استراتژی 3-2-1-1-0 (سه نسخه داده، دو رسانه مختلف، یک نسخه آفلاین، یک نسخه غیرقابل‌تغییر، تست بازیابی) پیروی کنید.

6. آموزش کارکنان: کاربران را در مورد خطرات اتصال به سرورهای ناشناخته و حملات مهندسی اجتماعی آگاه کنید.

چرا این تهدید مهم است؟

آسیب‌پذیری‌های Remote Desktop Client، مانند CVE-2025-48817، به دلیل استفاده گسترده از پروتکل RDP در سازمان‌ها، به‌ویژه در محیط‌های دورکاری، تهدیدی جدی هستند. این نقص می‌تواند به اجرای کد مخرب، سرقت داده‌ها یا حتی کنترل کامل سیستم منجر شود. گزارش‌های وب‌سایت‌هایی مانند BleepingComputer نشان می‌دهد که حملات به پروتکل RDP به دلیل پیکربندی نادرست یا تأخیر در به‌روزرسانی‌ها همچنان شایع است. سازمان‌ها در ایالات متحده و جهان باید فوراً اقدامات امنیتی را تقویت کنند تا از این تهدیدات در امان بمانند.