【安全圈】Windows磁盘清理工具漏洞被利用获取系统权限，PoC已公开（CVE-2025-21420）

安全圈 2025-02-20 11:03

关键词

安全漏洞

微软在 2025 年 2 月的 “周二补丁日” 中，修复了 Windows 磁盘清理工具（cleanmgr.exe）存在的一个漏洞。
该漏洞编号为 CVE-2025-21420，攻击者可利用此漏洞在存在漏洞的系统上获取 SYSTEM 权限。
这个漏洞的通用漏洞评分系统（CVSS）评分为 7.8，给 Windows 用户带来了重大风险。

该
漏洞被匿名报告给微软，随后，一名安全研究人员在 GitHub 上发布了概念验证漏洞利用代码。
该漏洞利用借助磁盘清理工具 cleanmgr.exe 实施 DLL 劫持技术。
从本质上来说，研究人员展示了如何伪装恶意 DLL，并让磁盘清理工具加载它，从而有效地劫持其执行路径。

已发布的概念验证概述了以下步骤：

$ cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.dll
$ cleanmgr /sageset:2

研究人员的记录表明，使用的是标准的 DLL 劫持技术。虽然他们仍在研究权限提升的具体机制，但他们指出，安排 cleanmgr.exe 在 NT AUTHORITY\SYSTEM 账户下运行，或者等待系统触发执行（例如，由于磁盘空间不足或临时文件过多）可能是潜在的攻击途径。

微软在 2025 年 2 月 “周二补丁日” 的更新中修复了这个漏洞。此补丁修复了 55 个安全漏洞，其中包括 4 个零日漏洞，其中有两个正在被黑客在实际环境中利用。强烈建议用户立即应用此更新，以保护他们的系统免受潜在攻击。

该漏洞利用方法相对简单，再加上存在系统级被攻破的可能性，使得 CVE-2025-21420 成为一个严重威胁。尚未应用 2025 年 2 月补丁的用户应优先进行更新，以降低风险。有关该补丁以及其他已修复漏洞的更多详细信息，可在微软安全响应中心网站上查看。

END  

阅读推荐

【安全圈】华硕用户现可安装 Windows 11 24H2，BIOS 更新修复蓝屏问题

【安全圈】被木马感染的游戏安装程序在 StaryDobry 大规模攻击中部署加密货币挖矿程序

【安全圈】施乐打印机漏洞危及数据防线，Versalink C7025 用户凭证面临窃取风险

【安全圈】CISA 警告Palo Alto PAN-OS漏洞正在被积极利用

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！