CVE-2025-21420: Windows Disk Cleanup Tool Flaw Exploited to Gain SYSTEM Privileges, PoC Released
2025/02/19 SecurityOnline — Windows の Disk Cleanup Tool (cleanmgr.exe) の脆弱性が、2025年2月の Patch Tuesday において、Microsoft により修正されている。この脆弱性 CVE-2025-21420 (CVSS:7.8) の悪用に成功した攻撃者は、脆弱なシステム上で SYSTEM 権限の取得の可能性を手にするため、Windows ユーザーにとって深刻なリスクとなる。
この脆弱性は匿名により Microsoft に開示され、その後に、あるセキュリティ研究者が PoC エクスプロイトを GitHub で公開した。このエクスプロイトは、cleanmgr.exe による DLL サイドローディング手法を活用するものだ。この研究者は実証した方式は、Disk Cleanup Tool により偽装された 悪意の DLL が読み込ませ、その実行パスを効果的にハイジャックするというものである。
公開された PoC エクスプロイトでは、以下の手順が概説されている:
$ cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.dll
$ cleanmgr /sageset:2
研究者のメモによると、標準的な DLL サイドローディング手法が採用されているようだ。権限昇格の正確なメカニズムについては調査中とのことだが、cleanmgr.exe を NT AUTHORITY\SYSTEM アカウントで実行するようにスケジュールする方式と、ディスク容量不足などによるシステムからのトリガーを待つ方式が、潜在的な手段になる可能性があると示唆している。
すでに Microsoft は、2025年2月の Patch Tuesday で、この脆弱性に対処している。このときのパッチは、55件のセキュリティ欠陥の修正するものであり、その中には4つのゼロデイ脆弱性も含まれ、そのうちの2つは実際に悪用されていた。潜在的な攻撃からシステムを保護するために、ユーザーに対して強く推奨されるのは、この更新プログラムを直ちに適用することだ。
このエクスプロイトは比較的単純な性質を持ち、SYSTEM レベルでの侵害の可能性もあるため、脆弱性 CVE-2025-21420 は深刻な脅威と見なされるべきだ。2025年2月の修正プログラムが未適用のユーザーは、それを優先的に適用し、リスクを軽減する必要がある。この修正プログラムと脆弱性の詳細については、Microsoft Security Response Center の Web サイトを参照してほしい。
Windows Disk Cleanup Tool の脆弱性 CVE-2025-21420 ですが、PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。ご利用のチームは、十分にご注意ください。2025年2月の Microsoft Patch Tuesday の詳細は、2025/02/11 の「Microsoft 2025-02 月例アップデート:4件のゼロデイを含む 55件の脆弱性に対応」となります。よろしければ、Microsoft で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.