Windows 云文件过滤驱动权限提升漏洞(CVE-2025-55680)
内容提要
Exodus Intelligence 研究团队发现微软 Cloud Files 迷你过滤驱动 cldflt.sys 中的权限提升漏洞(CVE-2025-55680),影响所有 Windows 版本。该漏洞允许低权限攻击者在系统任意位置创建或覆盖文件,导致本地权限提升。微软已在2025年10月的更新中修复该漏洞,建议用户及时安装安全更新。
关键要点
-
Exodus Intelligence 研究团队发现微软 Cloud Files 迷你过滤驱动 cldflt.sys 中的权限提升漏洞(CVE-2025-55680),影响所有 Windows 版本。
-
该漏洞允许低权限攻击者在系统任意位置创建或覆盖文件,导致本地权限提升。
-
漏洞源于驱动通过 Cloud Files API 验证和创建占位文件时存在的竞态条件。
-
漏洞存在于 cldflt.sys 的 HsmpOpCreatePlaceholders() 函数中。
-
攻击者可以通过在文件名中注入反斜杠字符来利用该竞态条件。
-
完整的漏洞利用链需要四个阶段:准备阶段、触发竞态、权限提升和执行阶段。
-
微软已在 2025 年 10 月的更新中修复该漏洞,建议用户及时安装安全更新。
-
使用 OneDrive 按需文件、SharePoint 同步或其他利用 Cloud Files API 服务的企业需特别警惕。
延伸解读
漏洞影响范围
CVE-2025-55680 漏洞影响所有 Windows 版本,尤其是使用 OneDrive 和 SharePoint 的用户。企业在使用这些服务时,需特别关注潜在的安全风险,确保及时更新系统以防止攻击者利用该漏洞进行权限提升。
漏洞利用过程分析
该漏洞的利用过程涉及多个阶段,包括注册同步根目录、触发竞态条件、权限提升和执行恶意代码。了解这一过程有助于企业和用户识别潜在的攻击模式,从而加强防御措施,避免遭受攻击。
安全更新的重要性
微软已在 2025 年 10 月的更新中修复了该漏洞,用户应立即安装最新的安全更新。未及时更新的系统将面临更高的安全风险,攻击者可能通过该漏洞获取系统权限,造成严重后果。
延伸问答
CVE-2025-55680漏洞的影响是什么?
该漏洞允许低权限攻击者在系统任意位置创建或覆盖文件,导致本地权限提升。
这个漏洞是如何被发现的?
Exodus Intelligence 研究团队发现了微软 Cloud Files 迷你过滤驱动中的权限提升漏洞。
微软对CVE-2025-55680漏洞采取了什么措施?
微软在2025年10月的更新中修复了该漏洞,建议用户及时安装安全更新。
攻击者是如何利用这个漏洞的?
攻击者通过在文件名中注入反斜杠字符来利用竞态条件,从而在受保护目录中创建文件。
CVE-2025-55680漏洞的根本原因是什么?
漏洞源于驱动在验证和创建占位文件时存在的竞态条件。
哪些用户特别需要关注这个漏洞?
使用 OneDrive 按需文件、SharePoint 同步或其他利用 Cloud Files API 服务的企业需特别警惕。
