Критическая уязвимость безопасности в облачном минифильтре Microsoft Windows была исправлена компанией в октябре 2025 года. Проблема, получившая идентификатор CVE-2025-55680, связана с состоянием гонки (race condition), которое позволяло злоумышленникам повышать привилегии и создавать файлы в любом месте операционной системы. Исследователи безопасности из Exodus Intelligence обнаружили данную уязвимость еще в марте 2024 года.
Детали уязвимости
Уязвимость существует в драйвере Windows Cloud Minifilter (cldflt.sys), который обеспечивает функциональность файловой системы для облачных приложений, включая OneDrive. Конкретная проблема была выявлена в функции HsmpOpCreatePlaceholders(), обрабатывающей запросы на создание файлов-заполнителей в синхронизированных каталогах. Файлы-заполнители представляют собой специальные файлы, используемые службами облачной синхронизации: они автоматически загружают содержимое из облака при обращении пользователя.
Безопасность системы нарушается из-за неправильной проверки имен файлов в процессе создания заполнителей. Когда пользователь запрашивает создание такого файла, система проверяет, содержит ли имя файла запрещенные символы, такие как обратная косая черта или двоеточие. Однако исследователи обнаружили временной промежуток между моментом проверки имени файла и моментом его фактического создания. В течение этого краткого периода злоумышленники могут модифицировать имя файла в памяти, чтобы обойти проверки безопасности.
Данная уязвимость типа "время проверки - время использования" (time-of-check time-of-use) оценивается в 7.8 баллов по шкале CVSS 3.1 и классифицируется как высокоопасная. Ее эксплуатация позволяет злоумышленникам создавать произвольные файлы, что в конечном итоге приводит к получению привилегий SYSTEM.
Эксплуатация уязвимости осуществляется через одновременный запуск нескольких потоков выполнения. Пока одни потоки повторно запрашивают создание заполнителей с внешне безвредными именами файлов, другие потоки быстро изменяют символы в буфере имени файла. При правильной синхронизации изменение вредоносного имени файла происходит после проверки, но до создания файла, что позволяет атакующим создавать файлы в защищенных системных каталогах, таких как C:\Windows\System32.
Создавая вредоносные DLL-файлы в системных директориях, злоумышленники могут использовать технику подгрузки DLL (DLL side-loading) для выполнения кода с повышенными привилегиями SYSTEM. Начальная атака требует лишь привилегий низкого уровня, что делает ее особенно опасной для систем, где доступ имеют несколько пользователей.
Уязвимость затрагивает обработку API-функции CfCreatePlaceholders() в драйвере Cloud Files Minifilter. Эта функция используется поставщиками услуг облачной синхронизации для создания файлов-заполнителей, представляющих содержимое, хранящееся в облаке. Драйвер обрабатывает эти запросы через код управления вводом-выводом 0x903BC с определенными параметрами, указывающими на операции создания заполнителей.
Исследователи безопасности отмечают, что данная уязвимость связана с ранее обнаруженной проблемой CVE-2020-17136, которая была исправлена с помощью проверок имен файлов. Однако реализация этих проверок содержала слабость состояния гонки, которая и позволила эксплуатировать CVE-2025-55680.
Системные администраторы должны обеспечить получение октябрьских обновлений безопасности 2025 года для систем Windows, чтобы защититься от возможной эксплуатации. Организации, использующие службы облачной синхронизации, должны уделить первоочередное внимание установке исправлений на системах с настроенными корневыми каталогами синхронизации, поскольку эти настройки являются необходимым условием для успешной эксплуатации уязвимости. Своевременное применение обновлений безопасности остается ключевой мерой защиты от подобных угроз повышения привилегий в корпоративных средах.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-55680
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55680
- https://blog.exodusintel.com/2025/10/20/microsoft-windows-cloud-files-minifilter-toctou-privilege-escalation/
