Microsoft Windows云迷你过滤器漏洞实现权限提升
微软已修复Windows云迷你过滤器中的一个关键安全漏洞,该漏洞源于竞态条件,允许攻击者提升权限并在系统任意位置创建文件。
该漏洞编号为CVE-2025-55680,由Exodus Intelligence的安全研究人员于2024年3月发现,微软于2025年10月发布补丁。
竞态条件导致系统级文件创建
该漏洞存在于Windows云迷你过滤器驱动(cldflt.sys)中,该驱动为OneDrive等云应用程序提供文件系统功能。
漏洞出现在HsmpOpCreatePlaceholders()函数处理同步目录下创建占位符文件的请求时。
| CVE ID | 漏洞类型 | 受影响组件 | CVSS 3.1评分 | 影响 |
|---|---|---|---|---|
| CVE-2025-55680 | 竞态条件/检查时间使用时间(TOCTOU) | Microsoft Windows云迷你过滤器(cldflt.sys) | 7.8(高危) | 权限提升 - 任意文件创建导致获得SYSTEM权限 |
占位符文件是云同步服务使用的特殊文件,当用户访问时会自动从云端下载内容。
安全问题源于在占位符创建过程中对文件名的验证不当。当用户请求创建占位符文件时,系统会检查文件名是否包含反斜杠或冒号等禁止字符。
然而,研究人员发现在文件名验证和文件实际创建之间存在一个时间窗口。在这个短暂时刻,攻击者可以修改内存中的文件名以绕过安全检查。
利用检查时间使用时间弱点
攻击者可以通过同时运行多个线程来利用这种检查时间使用时间漏洞。当某些线程使用看似无害的文件名重复请求创建占位符时,其他线程会快速更改文件名缓冲区中的字符。
如果时间把握准确,恶意文件名修改会在验证之后、文件创建之前发生,允许攻击者在受保护的系统目录(如C:\Windows\System32)中创建文件。
通过在系统目录中创建恶意DLL文件,攻击者可以利用DLL侧加载技术以提升的SYSTEM权限执行代码。
此攻击仅需要低级别权限即可开始,对于多用户访问的系统尤其危险。
技术细节
该漏洞影响云文件迷你过滤器驱动对CfCreatePlaceholders() API函数的处理。该函数由云同步提供商使用,用于创建代表云存储内容的占位符文件。
驱动程序通过I/O控制代码0x903BC处理这些请求,并使用指示占位符创建操作的特定参数。
安全研究人员指出,此漏洞与早期漏洞CVE-2020-17136相关,该漏洞已通过文件名验证检查进行了修补。然而,这些检查的实现包含了导致CVE-2025-55680的竞态条件弱点。
防护措施
系统管理员应确保Windows系统接收2025年10月的安全更新以防止利用。
使用云同步服务的组织应优先修补配置了同步根目录的系统,因为这些是成功利用的必要前提条件。