關(guān)鍵詞

漏洞

微軟Windows Admin Center（WAC）曝出新的本地提權(quán)漏洞，影響2.4.2.1及更早版本，包括運行WAC 2411及之前版本的環(huán)境。

該漏洞編號為CVE-2025-64669，源于_C:\ProgramData\WindowsAdminCenter_目錄權(quán)限設(shè)置不當(dāng)——標(biāo)準(zhǔn)用戶可寫入該目錄，而該目錄卻被高權(quán)限服務(wù)使用。由于Windows Admin Center廣泛用作Windows Server、集群、超融合基礎(chǔ)設(shè)施及Windows 10/11終端的管理網(wǎng)關(guān)，該漏洞具有廣泛的技術(shù)層影響。

任何依賴WAC執(zhí)行特權(quán)管理工作流、集成擴展或服務(wù)器管理的組織，只要標(biāo)準(zhǔn)用戶在WAC主機上具有本地文件系統(tǒng)訪問權(quán)限，就會面臨風(fēng)險。Cymulate研究人員發(fā)現(xiàn)，最初看似低危的配置問題實際上構(gòu)成了嚴(yán)重的設(shè)計缺陷。

雙重利用路徑分析

可寫的WAC數(shù)據(jù)目錄還包含以NETWORK SERVICE甚至SYSTEM權(quán)限運行的組件和進(jìn)程。這種組合使得寬松的文件系統(tǒng)配置成為突破Windows安全邊界的直接路徑。

通過分析WAC處理安裝、更新和擴展管理等敏感操作的方式，研究團(tuán)隊發(fā)現(xiàn)兩條獨立的利用鏈，均可讓低權(quán)限用戶獲取SYSTEM級訪問權(quán)限：濫用擴展卸載機制和通過DLL加載缺陷劫持更新程序。兩種方式都只需在WAC服務(wù)器上具備本地用戶權(quán)限即可實現(xiàn)。

在第一種場景中，研究人員聚焦于擴展卸載流程。通過dnSpy反編譯WAC的.NET二進(jìn)制文件，他們發(fā)現(xiàn)代碼會在WAC UI目錄下構(gòu)建"uninstall"文件夾路徑，枚舉該文件夾中的所有_PowerShel.ps1_腳本，并在特權(quán)上下文中以AllSigned執(zhí)行策略運行這些腳本。由于父目錄可被任何用戶寫入，攻擊者只需將簽名的PowerShell腳本放入該卸載文件夾，當(dāng)通過WAC UI或API卸載相應(yīng)擴展時，腳本就會以提升的權(quán)限執(zhí)行。

為演示這一過程，Cymulate在_C:\ProgramData\WindowsAdminCenter\Extensions _下創(chuàng)建了自定義擴展卸載目錄，放入簽名腳本并觸發(fā)卸載流程。有效載荷以NETWORK SERVICE或SYSTEM權(quán)限運行，并將輸出寫入公共目錄，明確證明本地標(biāo)準(zhǔn)用戶可借助這一受信任的卸載機制實現(xiàn)提權(quán)。

更新程序漏洞利用

第二條利用路徑針對WAC更新組件_WindowsAdminCenterUpdater.exe_。逆向工程顯示，更新程序會從全局可寫的_C:\ProgramData\WindowsAdminCenter\Updater_目錄加載DLL。由于簽名驗證步驟會拒絕未簽名的庫，最初的DLL劫持嘗試未能成功。但進(jìn)一步分析流程后，研究人員發(fā)現(xiàn)了典型的"檢查時間到使用時間"（TOCTOU）漏洞。

簽名驗證發(fā)生在啟動更新程序可執(zhí)行文件之前的主WindowsAdminCenter進(jìn)程中。Cymulate利用這一特性，以普通用戶身份監(jiān)控_WindowsAdminCenterUpdater.exe_的創(chuàng)建，并在其出現(xiàn)時立即將惡意的user32.dll復(fù)制到更新程序目錄。這種競爭條件使得攻擊者控制的DLL能被更新程序加載而無需經(jīng)過先前的驗證，從而以SYSTEM權(quán)限從非管理員賬戶執(zhí)行代碼。

漏洞修復(fù)與響應(yīng)

微軟已確認(rèn)該漏洞，將其評定為"重要"級別（CVE-2025-64669），并向Cymulate支付了5000美元漏洞賞金。為幫助防御者評估風(fēng)險，Cymulate于2025年12月15日在其Exposure Validation平臺新增"WindowsAdminCenter – CVE-2025-64669本地提權(quán)"場景?？蛻艨舍槍ζ鋀indows Admin Center網(wǎng)關(guān)運行該場景，測試配置是否存在漏洞，并評估SIEM、EDR等終端安全控制對攻擊模式的檢測和響應(yīng)能力。

根據(jù)披露時間線，該漏洞于2025年8月5日通過MSRC報告給微軟，8月29日獲得確認(rèn)，9月3日獲得獎勵。11月12日，微軟告知研究人員將發(fā)布"重要"級別的CVE，修復(fù)補丁計劃納入12月10日的"補丁星期二"更新，凸顯了企業(yè)及時跟蹤和應(yīng)用WAC更新的緊迫性。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！