Exploração de escalonamento de privilégios tem como alvo o minifiltro de arquivos do Windows Cloud

03/11/2025 mindsecblog Notícias 0

A Microsoft abordou uma vulnerabilidade crítica de condição de corrida que afetava seu driver Windows Cloud Files Minifilter em outubro de 2025.

A falha, atribuída CVE-2025-55680, foi descoberta originalmente em março de 2024 e representa uma preocupação significativa de segurança para sistemas que utilizam OneDrive e serviços semelhantes de sincronização em nuvem.

Atributo	Detalhes
Identificador CVE	CVE-2025-55680
Tipo de vulnerabilidade	Condição de corrida (TOCTOU)
Componente afetado	cldflt.sys (minifiltro de arquivos do Windows Cloud)

A vulnerabilidade existe na função HsmpOpCreatePlaceholders() do driver cldflt.sys, que gerencia a criação de arquivos de espaço reservado em diretórios de nuvem sincronizados.

Essa condição de corrida cria uma janela estreita, mas explorável, onde os invasores podem ignorar as verificações de validação de nomes de arquivos e criar arquivos em qualquer lugar do sistema, alcançando efetivamente o escalonamento de privilégios.

Método de Exploração Técnica

A vulnerabilidade decorre de como o Nuvem do Windows O Files Minifilter valida nomes de arquivos antes de criar arquivos de espaço reservado.

Quando um usuário solicita a criação de espaço reservado por meio da API CfCreatePlaceholders, o driver do kernel executa a validação para garantir que os nomes de arquivo não contenham caracteres de barra invertida ou dois pontos, uma verificação implementada após o patch CVE-2020-17136 anterior.

Entretanto, existe uma lacuna de tempo crítica entre esta etapa de validação e a operação real de criação de arquivo por meio de FltCreateFileEx2().

Um invasor pode explorar essa janela modificando o nome do arquivo após a validação, mas antes da criação do arquivo, transformando um nome de arquivo legítimo em uma carga útil de passagem de caminho.

Por exemplo, ao alterar JUSTASTRING para JUSTASTRING\newfile.dll após a validação ser aprovada, o invasor pode explorar junções ou links simbólicos para criar arquivos em diretórios protegidos que normalmente seriam inacessíveis ao usuário.

Esta técnica permite a colocação não autorizada de arquivos em locais críticos do sistema, levando a escalada de privilégios.

O processo de exploração envolve várias etapas cuidadosas que aproveitam o comportamento de mapeamento de memória no kernel.

Ao processar solicitações de criação de espaço reservado, o minifiltro mapeia o buffer do espaço do usuário contendo informações de espaço reservado no espaço de endereço virtual do kernel.

Esse mapeamento cria uma região de memória compartilhada onde os aplicativos em modo de usuário podem continuar modificando dados mesmo depois que o kernel os valida.

O invasor prepara uma solicitação de criação de espaço reservado especialmente criada com um nome de arquivo benigno que passa nas verificações de validação.

Entre a rotina de validação no marcador de instruções e a chamada de criação de arquivo no marcador, o invasor modifica rapidamente a sequência de nomes de arquivo por meio da região de memória mapeada, inserindo caracteres de travessia de caminho.

Se o tempo estiver alinhado corretamente, o kernel cria o arquivo usando o caminho modificado, gravando em um local arbitrário.

Como FltCreateFileEx2() é invocado sem sinalizadores de validação de link simbólico e usa atributos de identificador do kernel, a operação é concluída com privilégios elevados, ignorando os controles de acesso normais do modo de usuário, como relatado por Exodus Intelligence.

A descoberta dessa vulnerabilidade destaca os desafios contínuos na proteção de drivers de sistema de arquivos em nível de kernel, particularmente em cenários que envolvem memória compartilhada entre o usuário e o espaço do kernel.

As organizações que executam sistemas Windows com o Cloud Files Minifilter habilitado devem garantir que seus sistemas estejam totalmente atualizados com os patches de segurança de outubro de 2025 para mitigar esse risco de forma eficaz.

Fonte: GBHackers