【安全圈】Windows Admin Center 漏洞（CVE-2025-64669）可導致攻擊者提權

關鍵詞

漏洞

微軟Windows Admin Center（WAC）曝出新的本地提權漏洞，影響2.4.2.1及更早版本，包括運行WAC 2411及之前版本的環境。

該漏洞編號為CVE-2025-64669，源于_C:\ProgramData\WindowsAdminCenter_目錄權限設置不當——標準用戶可寫入該目錄，而該目錄卻被高權限服務使用。由于Windows Admin Center廣泛用作Windows Server、集群、超融合基礎設施及Windows 10/11終端的管理網關，該漏洞具有廣泛的技術層影響。

任何依賴WAC執行特權管理工作流、集成擴展或服務器管理的組織，只要標準用戶在WAC主機上具有本地文件系統訪問權限，就會面臨風險。Cymulate研究人員發現，最初看似低危的配置問題實際上構成了嚴重的設計缺陷。

雙重利用路徑分析

可寫的WAC數據目錄還包含以NETWORK SERVICE甚至SYSTEM權限運行的組件和進程。這種組合使得寬松的文件系統配置成為突破Windows安全邊界的直接路徑。

通過分析WAC處理安裝、更新和擴展管理等敏感操作的方式，研究團隊發現兩條獨立的利用鏈，均可讓低權限用戶獲取SYSTEM級訪問權限：濫用擴展卸載機制和通過DLL加載缺陷劫持更新程序。兩種方式都只需在WAC服務器上具備本地用戶權限即可實現。

在第一種場景中，研究人員聚焦于擴展卸載流程。通過dnSpy反編譯WAC的.NET二進制文件，他們發現代碼會在WAC UI目錄下構建"uninstall"文件夾路徑，枚舉該文件夾中的所有_PowerShel.ps1_腳本，并在特權上下文中以AllSigned執行策略運行這些腳本。由于父目錄可被任何用戶寫入，攻擊者只需將簽名的PowerShell腳本放入該卸載文件夾，當通過WAC UI或API卸載相應擴展時，腳本就會以提升的權限執行。

為演示這一過程，Cymulate在_C:\ProgramData\WindowsAdminCenter\Extensions _下創建了自定義擴展卸載目錄，放入簽名腳本并觸發卸載流程。有效載荷以NETWORK SERVICE或SYSTEM權限運行，并將輸出寫入公共目錄，明確證明本地標準用戶可借助這一受信任的卸載機制實現提權。

更新程序漏洞利用

第二條利用路徑針對WAC更新組件_WindowsAdminCenterUpdater.exe_。逆向工程顯示，更新程序會從全局可寫的_C:\ProgramData\WindowsAdminCenter\Updater_目錄加載DLL。由于簽名驗證步驟會拒絕未簽名的庫，最初的DLL劫持嘗試未能成功。但進一步分析流程后，研究人員發現了典型的"檢查時間到使用時間"（TOCTOU）漏洞。

簽名驗證發生在啟動更新程序可執行文件之前的主WindowsAdminCenter進程中。Cymulate利用這一特性，以普通用戶身份監控_WindowsAdminCenterUpdater.exe_的創建，并在其出現時立即將惡意的user32.dll復制到更新程序目錄。這種競爭條件使得攻擊者控制的DLL能被更新程序加載而無需經過先前的驗證，從而以SYSTEM權限從非管理員賬戶執行代碼。

漏洞修復與響應

微軟已確認該漏洞，將其評定為"重要"級別（CVE-2025-64669），并向Cymulate支付了5000美元漏洞賞金。為幫助防御者評估風險，Cymulate于2025年12月15日在其Exposure Validation平臺新增"WindowsAdminCenter – CVE-2025-64669本地提權"場景。客戶可針對其Windows Admin Center網關運行該場景，測試配置是否存在漏洞，并評估SIEM、EDR等終端安全控制對攻擊模式的檢測和響應能力。

根據披露時間線，該漏洞于2025年8月5日通過MSRC報告給微軟，8月29日獲得確認，9月3日獲得獎勵。11月12日，微軟告知研究人員將發布"重要"級別的CVE，修復補丁計劃納入12月10日的"補丁星期二"更新，凸顯了企業及時跟蹤和應用WAC更新的緊迫性。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！