Windows Admin Center(WAC)作为微软推出的核心管理工具,广泛应用于Windows Server集群、超融合基础设施及终端设备的集中管控,其安全性直接关系到企业IT架构的核心防线。2025年披露的本地提权漏洞CVE-2025-64669,凭借“低权限准入、高权限突破”的攻击特性,成为威胁企业内网安全的关键风险点。该漏洞被微软评定为“重要”级别,影响2.4.2.1及更早版本(含WAC 2411及之前所有版本),其本质是目录权限配置矛盾引发的设计缺陷,给攻击者提供了两条可直接利用的提权路径,值得所有企业高度警惕。
漏洞核心:权限配置矛盾的致命隐患
CVE-2025-64669的根源在于C:\ProgramData\WindowsAdminCenter目录的权限管控失当。这个被WAC用于存储扩展、更新文件及运行组件的核心目录,竟对本地普通用户开放写入权限,而目录内同时运行着NETWORK SERVICE和SYSTEM级别的高权限进程。
这种“低权限可写入、高权限来执行”的配置矛盾,打破了Windows系统固有的权限隔离机制。普通用户无需复杂操作,即可通过篡改该目录下的关键文件或植入恶意组件,借助高权限进程的执行上下文完成权限跃迁,从技术层面形成了“合法路径下的非法提权”漏洞,其隐蔽性和利用门槛远低于传统提权漏洞。
双轨利用链:低权限到SYSTEM的完整突破路径
Cymulate研究人员通过逆向工程与漏洞测试,发现了两条独立且可落地的攻击利用链,均能让本地普通用户稳定获取SYSTEM级权限,覆盖不同使用场景下的攻击需求。
利用链一:扩展卸载机制的脚本注入
WAC的扩展管理功能中,卸载流程存在权限校验缺失问题。研究人员通过dnSpy反编译WAC的.NET二进制文件发现,当触发扩展卸载操作时,系统会自动在UI目录下创建“uninstall”文件夹,并枚举其中所有PowerShell.ps1脚本,以“AllSigned”执行策略在特权上下文运行。
由于C:\ProgramData\WindowsAdminCenter\Extensions目录对普通用户可写,攻击者只需将签名后的恶意PowerShell脚本放入目标卸载文件夹,再通过WAC的UI界面或API触发对应扩展卸载,恶意脚本就会以NETWORK SERVICE或SYSTEM权限执行。实测显示,攻击者可通过该方式直接获取服务器的完全控制权,执行文件篡改、数据窃取等高危操作。
利用链二:更新程序的DLL劫持与TOCTOU漏洞
WAC的更新组件WindowsAdminCenterUpdater.exe存在典型的“检查时间到使用时间”(TOCTOU)缺陷。该程序启动时会从C:\ProgramData\WindowsAdminCenter\Updater目录加载DLL文件,虽有签名验证机制拦截未签名库,但验证流程仅在主进程启动更新程序前执行。
攻击者可利用这一时间差,以普通用户身份监控WindowsAdminCenterUpdater.exe的进程创建事件,一旦检测到程序启动,立即将恶意构造的user32.dll复制到更新目录。借助竞争条件,恶意DLL能绕过签名验证被更新程序加载,最终以SYSTEM权限执行恶意代码。该利用链无需依赖用户交互,可通过自动化脚本实现隐蔽攻击,危害范围更广。
漏洞影响:企业IT架构的连锁风险
WAC作为企业级管理网关的核心定位,使其漏洞利用可能引发多层次风险传导:
- 横向渗透风险:攻击者获取单台WAC服务器控制权后,可借助其管理权限横向扩散至整个服务器集群、超融合基础设施及终端设备,形成内网大面积沦陷。
- 特权滥用隐患:SYSTEM级权限可让攻击者篡改审计日志、植入后门程序,长期潜伏在企业内网,导致数据泄露、业务中断等不可逆损失。
- 供应链传导风险:若企业将WAC集成到CI/CD流水线或自动化运维体系,漏洞可能被利用于劫持运维流程,向业务系统注入恶意组件,引发供应链安全事件。
从漏洞披露时间线来看,该漏洞于2025年8月5日上报微软,12月10日才通过“补丁星期二”发布修复更新,长达4个月的暴露窗口已为攻击者提供了充足的研究和利用时间。
应急响应与修复方案
面对漏洞威胁,企业需采取“立即修复+临时防护+风险排查”的三维响应策略,快速遏制风险扩散:
- 优先完成版本升级:直接将Windows Admin Center升级至2411之后的安全版本(建议升级至2511及以上版本),微软已通过该版本修复目录权限配置缺陷,封堵两条利用链。
- 启用专项检测工具:利用Cymulate Exposure Validation平台新增的“CVE-2025-64669本地提权”检测场景,对所有WAC网关进行全面扫描,验证漏洞是否存在及修复效果。
- 临时加固目录权限:在无法立即升级的场景下,临时修改
C:\ProgramData\WindowsAdminCenter目录权限,收回普通用户的写入权限,仅保留管理员和系统账户的必要权限。 - 加强日志监控:重点监控
WindowsAdminCenterUpdater.exe进程启动日志、PowerShell脚本执行日志及相关目录的文件变更记录,及时发现异常攻击行为。
长远防御:超越补丁的纵深安全体系
CVE-2025-64669暴露的权限配置缺陷,反映出企业在系统运维中的共性安全问题。从长远来看,需构建“配置加固+运行时防护+安全流程”的纵深防御体系,抵御同类漏洞威胁:
- 落实最小权限原则:对所有系统工具和服务组件,严格限制目录写入权限与进程执行权限,避免“低权限可写+高权限执行”的配置矛盾。
- 部署运行时防护:引入EDR(终端检测与响应)、RASP(运行时应用自我保护)工具,实时监控DLL劫持、异常脚本执行等高危行为,实现攻击拦截。
- 优化安全运维流程:在CI/CD流水线中集成SCA(软件成分分析)工具,自动化检测组件漏洞;建立漏洞分级响应机制,对“重要”级别以上漏洞实施72小时内修复。
- 强化供应链治理:仅使用官方签名的组件与更新包,对基础镜像和依赖库进行定期审计,避免使用“latest”标签的镜像,防止漏洞组件持续扩散。
未来趋势:本地提权漏洞的防御挑战
结合2025年以来的漏洞发展趋势,本地提权漏洞正呈现“场景化增强、利用更隐蔽”的特点。攻击者越来越倾向于利用系统配置错误、组件交互缺陷等“合法路径”实施攻击,绕过传统防护工具检测。
对于企业而言,单纯依赖补丁升级已无法应对复杂威胁,需建立“主动防御+风险预判”的安全体系:定期开展权限审计与漏洞演练,提前识别类似CVE-2025-64669的配置缺陷;针对服务器集群、自动化运维等关键场景,制定专项防护策略;将本地提权漏洞纳入应急预案,缩短漏洞响应与修复周期。
