CVE-2025-21204：Windows Update Stack 漏洞可致恶意代码执行及权限提升

在 Windows Update Stack 中发现了一个安全漏洞，这使得数百万台 Windows 系统面临着未经授权的代码执行和权限提升的风险。

该漏洞被追踪编号为 CVE-2025-21204，它允许本地攻击者通过操纵受信任的更新进程绕过标准安全控制，从而获取系统级（SYSTEM-level）访问权限。

这个问题影响了广泛的 Windows 10、Windows 11 以及 Windows Server 版本，对企业用户和个人用户而言都是一个重大威胁。

Windows Update Stack漏洞 ——CVE-2025-21204

该漏洞的通用漏洞评分系统（CVSS）评分为 7.8（高危），其攻击目标是 Windows Update Stack组件，特别是以系统权限（SYSTEM privileges）运行的 MoUsoCoreWorker.exe 和 UsoClient.exe 进程。

与那些需要复杂技术的漏洞利用方式不同，CVE-2025-21204 被安全专家称为 “静默权限提升漏洞”，它通过滥用信任而非利用内存损坏问题，融入了操作系统的正常行为之中。

网络安全公司 Cyberdom 表示：“这个 CVE 漏洞是路径滥用、受信任位置重定向以及利用原生组件进行权限提升的典型案例 —— 红队喜爱的一切，蓝队恐惧的一切，都在其中。”

其攻击途径利用了一个设计缺陷，即 Windows Update Stack 进程在不当情况下会遵循目录连接点（也称为 NTFS 挂载点或符号链接），并且在未验证脚本来源或未执行权限边界检查的情况下，从用户控制的路径执行脚本。

拥有有限用户权限的攻击者可以创建一个连接点，将受信任的路径 C:\ProgramData\Microsoft\UpdateStack\Tasks 重定向到包含恶意代码的位置。

当像 MoUsoCoreWorker.exe 这样的 Windows 更新进程按计划运行时，它们会沿着这些连接点到达攻击者控制的位置，并以系统权限执行恶意代码。

这种漏洞利用技术无需进行代码注入或内存操纵，这使得使用传统安全工具很难检测到它。

缓解措施

Microsoft 2025 年 4 月的累积更新（KB5055523）采用了一种不同寻常的缓解策略来解决该漏洞，其中包括在系统驱动器的根目录下创建一个新文件夹：C:\inetpub。

虽然这个文件夹通常与互联网信息服务（IIS）相关，但即使在未安装 IIS 的系统上，它的出现也是有意为之。

这是 Microsoft 安全改进措施的一部分，即预先创建某些目录，并加强更新进程以抵御符号链接攻击。

安全分析师已经制定了检测规则，以识别潜在的漏洞利用企图，重点关注针对 Windows Update Stack 路径的可疑连接点创建情况，并监控涉及 Microsoft\UpdateStack 目录的异常文件操作。

企业应采取以下缓解措施：

1.立即应用 2025 年 4 月的安全更新。

2.限制 C:\ProgramData\Microsoft\UpdateStack 的访问控制列表（ACLs）。

3.使用应用程序控制工具（如 AppLocker 或 Windows Defender 应用程序控制（WDAC））防止创建符号链接。

4.监控 inetpub 目录中的文件创建活动，无论是否安装了 IIS。

该漏洞体现了一种日益增长的趋势，即威胁行为者利用文件系统中的隐含信任，而不是依赖复杂的内存损坏技术。

安全专家警告称，尽管这类 “低级” 的 CVE 漏洞看似利用方法较为简单，但往往会产生巨大的影响。

在 Microsoft 2025 年 4 月 补丁星期二 发布的更新中，除了修复这个漏洞外，还修复了其他 124 个 CVE 漏洞，其中一个（CVE-2025-29824）已被广泛利用。

研究人员解释说：“这个 CVE 漏洞不仅仅揭示了一个安全漏洞，它还凸显了在现代 Windows 环境中，受信任的执行路径是多么复杂和脆弱。

对于攻击者来说，这是一个可以悄然获取系统权限的途径。对于防御者来说，它是基于文件的 LPE 在现实世界中的蓝图。”