Windows 提权漏洞速报:CVE-2025-21204
Windows 提权漏洞速报:CVE-2025-21204
红队安全圈 红队安全圈 2025-04-18 07:39
漏洞概述
CVE-2025-21204
是Windows更新栈中的高危本地提权漏洞,攻击者通过符号链接劫持可获取SYSTEM权限
– • CVSS评分
:8.8(高危)
- • 攻击复杂度
:低
漏洞原理与攻击方式
🚨 1. 漏洞核心
-
• 存在于 MoUsoCoreWorker.exe 和 UsoClient.exe 等具有 SYSTEM 权限的更新进程中
-
• 这些进程会执行 C:\ProgramData\Microsoft\UpdateStack\Tasks 路径下的脚本或二进制文件,但该文件夹权限设置不当
🎯 2. 攻击步骤
-
• 步骤1:攻击者在可控路径(如用户目录)放置恶意脚本(如PowerShell脚本)
-
• 步骤2:删除系统原UpdateStack\Tasks文件夹,替换为指向恶意负载的符号链接
-
• 步骤3:触发更新任务(如通过计划任务),SYSTEM进程执行恶意负载完成提权
📌 影响范围
|
|
|
|
|
|
|
|
|
🛡️ 修复方案
紧急措施
:
– • 更新微软补丁(KB5055518/KB5055523)
- • 严禁删除 inetpub 文件夹(补丁依赖锚点)
长期防护
:
– • 启用EDR监控clfs.sys异常行为
- • 遵循最小权限原则