图片来源: Elli Shlomo
安全研究员 Elli Shlomo 公布了 CVE-2025-21204 的技术细节以及一个概念验证漏洞利用代码。CVE-2025-21204 是 Windows 更新堆栈中一个严重的本地权限提升漏洞,该漏洞利用符号链接和目录连接来绕过标准访问控制,并以系统级权限执行任意代码。
这个问题存在于 Windows 处理与更新相关的进程的方式中,尤其是与诸如 MoUsoCoreWorker.exe 和 UsoClient.exe 等可执行文件相关的进程。这些负责检查、下载和安装更新的进程以系统身份运行,并且会定期访问目录:C:\ProgramData\Microsoft\UpdateStack\Tasks。
在正常情况下,人们认为这个路径是安全的。然而,正如 Shlomo 的研究所表明的,这种信任放错了地方,存在极大风险。在易受攻击的配置下,这些进程可能会信任并执行来自该位置的文件,而不验证其来源、完整性或访问控制列表(ACL)。
在一个滥用可信路径的示例中,攻击者(即使是那些没有管理权限的攻击者)可以通过以下方式劫持更新机制:
1.植入一个有效载荷(脚本、动态链接库或二进制文件)。
2.删除合法的 Tasks 目录。
3.用一个指向用户控制位置的连接来替换它。
4.等待或触发更新扫描。
一旦系统级更新程序沿着被劫持的路径运行,它就会执行攻击者的有效载荷,在不触发反恶意软件扫描接口(AMSI)、Windows Defender 或 Windows 设备保护与控制(WDAC)的情况下悄然提升权限。
Shlomo 基于 PowerShell 的漏洞利用展示了完整的攻击链条:
1.一个恶意有效载荷(updatehelper.ps1)被放置在 C:\inetpub\wwwroot 目录中,该有效载荷会添加一个新的本地管理员账户。
2.合法的 Tasks 目录被删除,并被一个连接所取代。
3.脚本等待诸如 TiWorker.exe 或 UsoClient.exe 等更新进程。
4.一旦检测到这些进程,重定向就会生效,系统在不知情的情况下运行攻击者的代码。
值得注意的是,该漏洞利用仅使用了 Windows 的原生功能,无需编译或使用外部二进制文件,这使得它既隐秘又有效。
在安装 2025 年 4 月的累积更新(KB5055523)后,许多用户注意到出现了一个意外的目录:C:\inetpub。
传统上,这个目录与互联网信息服务(IIS)相关,它的出现让用户感到困惑。Microsoft 后来澄清说,创建这个目录是有意为之,这是针对 CVE-2025-21204 的缓解措施的一部分。通过预先创建像 C:\inetpub 这样的目录,Microsoft 通过消除攻击者可控制的创建窗口,增强了更新过程抵御符号链接攻击的能力。
发表评论
您还未登录,请先登录。
登录