CVE-2025-21204：Windows更新堆栈权限提升漏洞 附POC及漏洞分析

原创 NightTeam 夜组OSINT 2025-04-23 00:01

前言

安全研究员 Elli Shlomo 公布了CVE-2025-21204 的技术细节和概念验证漏洞代码，这是 Windows 更新堆栈中的一个严重本地权限提升漏洞，利用符号链接和目录连接绕过标准访问控制并以 SYSTEM 级权限执行任意代码。

漏洞细节分析

漏洞细节：https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/

问题在于 Windows 如何处理与更新相关的进程，尤其是那些与 MoUsoCoreWorker.exe 和 UsoClient.exe 等可执行文件相关的进程。这些进程负责检查、下载和安装更新，以 SYSTEM 权限运行，并定期访问目录：C:\ProgramData\Microsoft\UpdateStack\Tasks。

正常情况下，此路径被认为是安全的。然而，正如 Shlomo 的研究表明，这种信任被严重滥用。在易受攻击的配置下，这些进程可能会信任并执行来自此位置的文件，而无需验证其来源、完整性或 ACL。

在可信路径滥用的示例中，攻击者（即使没有管理权限）也可以通过以下方式劫持更新机制：
– 植入有效载荷（脚本、DLL 或二进制文件）

• 删除合法的 Tasks 目录

• 将其替换为指向用户控制位置的连接点

• 等待或触发更新扫描

一旦 SYSTEM 级更新程序遵循被劫持的路径，它就会执行攻击者的有效载荷，悄悄地提升权限——而不会被 AMSI、Defender 或 WDAC 绊倒。

Shlomo 基于 PowerShell 的漏洞利用演示了完整的攻击链：https://raw.githubusercontent.com/eshlomo1/CloudSec/refs/heads/main/Attacking%20the%20Cloud/CVE-2025-21204/Exploit-CVE2025-UpdateStackLPE-NonAdmin.ps1

1、恶意负载（updatehelper.ps1）被放置在 C:\inetpub\wwwroot 中，添加了新的本地管理员。

2、合法的 Tasks 目录被删除并被替换为连接点。

3、该脚本等待更新进程，如 TiWorker.exe 或 UsoClient.exe。

4、一旦检测到，重定向就会生效，SYSTEM 就会在不知情的情况下运行攻击者的代码。

值得注意的是，该漏洞仅使用本机 Windows 功能（无需编译或外部二进制文件），使其隐秘且有效。

在2025年4月累积更新（KB5055523）之后 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21204/ ，许多用户注意到突然出现了一个意外的目录：C:\inetpub。

它传统上与 IIS 紧密相关，其存在令用户感到困惑。微软后来澄清：它的创建是故意的，是 CVE-2025-21204 缓解措施的一部分。通过预先创建 C:\inetpub 之类的目录，微软消除了攻击者控制的创建窗口，从而增强了更新过程抵御符号链接攻击的能力。