CVE-2025-48799: Windows 权限提升获取System权限【附POC】
原文链接: https://mp.weixin.qq.com/s?__biz=Mzg2NDcwNjkzNw==&mid=2247487650&idx=1&sn=80fed50d074dc91f60f3b427591b90a7
CVE-2025-48799: Windows 权限提升获取System权限【附POC】
我不懂安全 2025-07-10 00:18
喜欢你就
关注
我
Windows 10/11 系统在“Storage Sense”(存储感知)功能下提供了便捷的自定义应用安装路径的能力。然而,正是这一设计在 CVE-2025-48799 中被不法分子利用,导致 Windows Update 服务(wuauserv)触发任意文件/文件夹删除漏洞,进而实现本地特权提升(LPE)。本文将深度解析该漏洞的原理、PoC 演示及修复建议,帮助安全研究员和运维人员及时防范潜在风险。
漏洞背景
目标组件
:Windows Update 服务(wuauserv)
影响范围
:Windows 客户端(Windows 10/11),且系统至少安装了两块及以上硬盘
功能依赖
:Storage Sense 可更改“新内容”保存位置到辅助硬盘
在默认配置下,Windows Update 服务仅在系统盘(C 盘)执行升级相关操作。但当用户通过 Storage Sense 将“新应用内容”路径切换至辅硬盘后,Windows Update 服务在安装新应用时,会对目标存储位置进行清理操作。如果该存储位置存在符号链接(Symbolic Link),服务在遇到文件时仅通过
GetFinalPathByHandle
校验最终路径,却未对目录进行同等校验,导致任意文件夹被不当删除。
漏洞原理
-
符号链接滥用
攻击者在辅硬盘上建立符号链接,将原本应被清理的临时文件夹路径指向任意敏感目录,如
%SystemRoot%\System32
。 -
路径校验缺失
Windows Update 服务在删除过程中,若检测到目标是文件,则调用
GetFinalPathByHandle
获取真实路径后才执行删除。但对目录类型则直接删除,缺少符号链接终端路径的验证。 -
特权继承
由于 wuauserv 通常运行于 SYSTEM 级别账户,删除敏感系统目录后可在关键组件重装或重启时让攻击者将恶意文件写入,最终实现 SYSTEM 权限代码执行。
PoC 演示
该 PoC 完全基于 ZDI 在 2022 年发表的任意文件删除滥用技术,并针对 Windows Update 服务做了针对性适配:
准备阶段
在辅硬盘(假设为 D 盘)创建测试目录
D:\StorageTemp
。
在 PowerShell 下执行:
New-Item -ItemType Junction -Path D:\StorageTemp\ToDelete -Target C:\Windows\System32
触发漏洞
通过 Storage Sense 将“新应用内容位置”改为
D:\StorageTemp
。
运行 Windows Update 安装命令或模拟安装流程,wuauserv 将递归删除
D:\StorageTemp\ToDelete
,实质删除了
C:\Windows\System32
目录内容。
提权利用
删除后,在系统重启或组件重装过程中,攻击者可将恶意 DLL、可执行文件等放置于被删除目录中,进而获取 SYSTEM 权限。
视频POC演示:
漏洞影响
高危等级
:
由于漏洞可在 SYSTEM 级别执行任意代码,影响范围广泛,企业级服务器、终端均可受到攻击。
攻击成本
:
需本地登录权限或已有低权限账号,结合符号链接技巧即可完成功能完善的提权链。
威胁场景
:
恶意软件搭载提权模块后,可在受限账户下自动升级。
内部渗透测试中,红队可利用该漏洞快速从普通用户提升至 SYSTEM 账户,加速后续横向渗透。
修复与缓解建议
官方补丁
密切关注 Microsoft 安全公告,及时部署针对 CVE-2025-48799 的官方修复补丁。
策略管控
在企业环境中,暂时禁用 Storage Sense 的“更改新内容位置”功能,或限制普通用户修改该设置。
权限审计
对关键系统目录开启额外的访问审核,监控非授权删除、重命名等操作。
符号链接监控
使用系统工具或第三方安全软件,对关键分区的符号链接创建行为进行实时检测和拦截。
结语
CVE-2025-48799 再次提醒我们:看似便捷的系统功能,在多硬盘场景下若缺乏严格的路径校验,就可能成为攻击者眼中的“神器”。安全运维人员应结合实际环境,做好功能风险评估与策略管控,及时跟进修补漏洞,将潜在威胁扼杀在萌芽状态。
如需演练,请前往项目地址下载测试。发送私信关键词
CVE-2025-48799
本文原创,图片为官方测试图,真假自辨。
优惠福利
GOADV3 20250709版本,靶场主要针对AD域的靶场训练,总共5台虚拟机3台域控机器。点击全文即可跳转
– 访问:需要登录平台VPN后,采用socks5进行访问内部域
– S5地址:10.35.71.14
– S5端口:1080
– IP段:192.168.56.0/24
可能学习的技术包括(根据官方提供的):
– Password reuse between computers (PTH)
-
Spray User = Password
-
Password in description
-
SMB share anonymous
-
SMB not signed
-
Responder
-
Zerologon
-
Windows defender
-
ASREPRoast
-
Kerberoasting
-
AD Acl abuse (forcechangepassword, genericall, genericwrite,…)
-
Unconstraint delegation
-
Ntlm relay
-
Constrained delegation
-
MSSQL exec
-
MSSQL trusted link
-
MSSQL impersonate
-
IIS service to Upload malicious asp
-
Multiples forest
-
Anonymous RPC user listing
-
Child parent domain escalation
-
Certificate and ldaps avaiable
-
ADCS – ESC 1/2/3/8
-
Certifry
-
Samaccountname/nopac
-
Petitpotam unauthent
-
Printerbug
-
Drop the mic
-
Shadow credentials
-
Printnightmare
-
Krbrelayup
-
…
往期热文
《凌晨两点的数字核弹:37 小时不眠夜,一个 USER root 掀翻西方安防体系》
“搬瓦工”DC1 2G2C的2000GB,VPS到底是不是韭菜?
针对APT29的高级技战法训练:利用TeamCity漏洞进行实战演练
关于我们
团队主要从事做网络安全靶场相关涵盖了传统网络、工业网络安全靶场。靶标包括了docker环境的web靶标、kvm的虚拟化靶标,场景类型包括APT攻击事件场景、APT攻击样本、应急处置场景、传统教学场景及定向行业场景如:电力行业、智能制造等行业。特殊场景如:
Crowdstrike、飞塔等业务仿真场景等。靶场在线使用点击全文即可跳转。
01
靶场靶标
基于Docker环境构建,聚焦容器安全领域,复现真实CVE漏洞的利用与防御。
安全应急环境,对真实攻击事件的快速响应、取证分析及修复能力。
02
展板
场景
虚实结合高仿真定制业务系统和网络环境,结合APT真实攻击事件分析还原攻击路径和技战法,可1:1进行攻防演练。
03
职业培训
提供SIEM应急培训、流量规则编写应急、
Crowdstrike和elk edr 规则编写。
PS. 碎片化时代,坚持原创不易,欢迎在文章结尾给我们点一个【赞】+【在看】,你的支持就是继续创作的动力!