【PoC】CVE-2025-21420：利用 Windows 磁盘清理工具漏洞获取系统权限

独眼情报 2025-02-20 07:23

Windows 磁盘清理工具（cleanmgr.exe）中的一个漏洞已在微软 2025 年 2 月的“补丁星期二”更新中修复。该漏洞被追踪为 CVE-2025-21420，可能允许攻击者在易受攻击的系统上获得 SYSTEM 级别权限。该漏洞的 CVSS 评分为 7.8，对 Windows 用户构成了显著风险。 该漏洞是匿名报告给微软的，随后一位安全研究人员在 GitHub 上发布了一个概念验证漏洞利用。该漏洞利用采用了一种 DLL 侧加载技术，针对 cleanmgr.exe。研究人员展示了如何将恶意 DLL 伪装并加载到磁盘清理工具中，从而劫持其执行路径。 发布的概念验证概述了以下步骤：

$ cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.dll$ cleanmgr /sageset:2

研究人员的注释指出，采用了标准的 DLL 侧加载技术。尽管他们仍在调查提权的具体机制，但建议可能的途径包括安排 cleanmgr.exe 在 NT AUTHORITY\SYSTEM 账户下运行，或等待系统触发执行（例如，由于磁盘空间不足或临时文件过多）。 微软已在其 2025 年 2 月补丁星期二 更新中修复了这一漏洞。此次补丁修复了 55 个安全漏洞，其中包括四个零日 漏洞，其中两个正在被积极利用。强烈建议用户立即应用此更新，以保护系统免受潜在攻击。 该漏洞利用的相对简单性，加上可能导致 SYSTEM 级别妥协的风险，使得 CVE-2025-21420 成为一个严重威胁。尚未应用 2025 年 2 月补丁的用户应优先考虑应用，以降低风险。关于该补丁及其他 漏洞 的详细信息，可在 微软安全响应中心 网站上找到。

poc

• https://github.com/Network-Sec/CVE-2025-21420-PoC