Windows 云文件过滤驱动权限提升漏洞(CVE-2025-55680)
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
Exodus Intelligence 研究团队发现微软 Cloud Files 迷你过滤驱动 cldflt.sys 中的权限提升漏洞(CVE-2025-55680),影响所有 Windows 版本。该漏洞允许低权限攻击者在系统任意位置创建或覆盖文件,导致本地权限提升。微软已在2025年10月的更新中修复该漏洞,建议用户及时安装安全更新。
🎯
关键要点
- Exodus Intelligence 研究团队发现微软 Cloud Files 迷你过滤驱动 cldflt.sys 中的权限提升漏洞(CVE-2025-55680),影响所有 Windows 版本。
- 该漏洞允许低权限攻击者在系统任意位置创建或覆盖文件,导致本地权限提升。
- 漏洞源于驱动通过 Cloud Files API 验证和创建占位文件时存在的竞态条件。
- 漏洞存在于 cldflt.sys 的 HsmpOpCreatePlaceholders() 函数中。
- 攻击者可以通过在文件名中注入反斜杠字符来利用该竞态条件。
- 完整的漏洞利用链需要四个阶段:准备阶段、触发竞态、权限提升和执行阶段。
- 微软已在 2025 年 10 月的更新中修复该漏洞,建议用户及时安装安全更新。
- 使用 OneDrive 按需文件、SharePoint 同步或其他利用 Cloud Files API 服务的企业需特别警惕。
❓
延伸问答
CVE-2025-55680漏洞的影响是什么?
该漏洞允许低权限攻击者在系统任意位置创建或覆盖文件,导致本地权限提升。
这个漏洞是如何被发现的?
Exodus Intelligence 研究团队发现了微软 Cloud Files 迷你过滤驱动中的权限提升漏洞。
微软对CVE-2025-55680漏洞采取了什么措施?
微软在2025年10月的更新中修复了该漏洞,建议用户及时安装安全更新。
攻击者是如何利用这个漏洞的?
攻击者通过在文件名中注入反斜杠字符来利用竞态条件,从而在受保护目录中创建文件。
CVE-2025-55680漏洞的根本原因是什么?
漏洞源于驱动在验证和创建占位文件时存在的竞态条件。
哪些用户特别需要关注这个漏洞?
使用 OneDrive 按需文件、SharePoint 同步或其他利用 Cloud Files API 服务的企业需特别警惕。
➡️
