CVE-2025-21204: SYSTEM-Level Privilege Escalation in Windows Update Stack Exposed, PoC Released
2025/04/22 SecurityOnline — Windows Update Stack に存在する深刻なローカル権限昇格の脆弱性 CVE-2025-21204 に対する、技術的詳細と PoC エクスプロイト・コードを、セキュリティ研究者の Elli Shlomo が公開した。この脆弱性を悪用する攻撃者は、シンボリック・リンクとディレクトリ・ジャンクションを介して標準のアクセス制御を回避し、SYSTEM レベル権限で任意のコードを実行できるという。
この問題は、Windows のアップデート関連プロセスに、特に MoUsoCoreWorker.exe/ UsoClient.exe などの実行ファイルに関連付けられたプロセスを処理する方法に起因する。これらのプロセスは、アップデート・プログラムの確認/ダウンロード/インストールを担い、SYSTEM として実行され、”C:\ProgramData\Microsoft\UpdateStack\Tasks” ディレクトリに定期的にアクセスするものだ。
通常の状況では、このパスは安全であると想定される。しかし、Elli Shlomo の調査が示すように、この信頼は誤ったものであり、危険なものである。具体的に言うと、脆弱なコンフィグレーションでは、これらのプロセスでは、ファイルの出所/整合性/ACL が検証されない。したがって、この場所に置かれる悪意のファイルを信頼して実行しまう可能性が生じる。
信頼されたパスの悪用例を挙げると、管理者権限を持たない攻撃者であっても、以下の方法でアップデート・メカニズムの乗っ取りが可能になる:
- ペイロード (スクリプト/DLL/バイナリ) を埋め込む
- 正規の Tasks ディレクトリを削除
- ユーザーが管理する場所を指すジャンクションに置換
- アップデート・スキャンを待機またはトリガー
したがって、システム・レベルの Updater が乗っ取られたパスをたどると、攻撃者のペイロードが実行され、AMSI/Defender/WDAC などによる検出を回避して、権限がサイレントに昇格される。
Elli Shlomo の PowerShell ベースのエクスプロイトが示すのは、この一連の攻撃の完全な流れである:
- 悪意のあるペイロード (updatehelper.ps1) が “C:\inetpub\wwwroot” にドロップされ、新しいローカル管理者が追加されるす。
- 正規の Tasks ディレクトリが削除され、ジャンクションに置き換えられる。
- 対象となるスクリプトが、TiWorker.exe や UsoClient.exe などのアップデート・プロセスを待機する。
- アップデートが検出されると、リダイレクトが実行され、SYSTEM は攻撃者のコードを正規のものとして実行する。
注目すべきは、このエクスプロイトは Windows のネイティブ機能だけを悪用し、コンパイルや外部バイナリは使用しないため、ステルス性が高く、効果的であることだ。
2025年4月の累積更新プログラム (KB5055523) を適用した多くのユーザーは、その後に、予期せぬディレクトリ “C:\inetpub” の突然の出現に気づいた。
このディレクトリは、従来において IIS に関連付けられたものであり、ユーザーを困惑させた。その後に Microsoft は、このディレクトリの作成は意図的なものであり、脆弱性 CVE-2025-21204 に対する緩和策の一環であると説明した。”C:\inetpub” のようなディレクトリを事前に作成することで、Microsoft は攻撃者が制御するディレクトリ操作などを排除し、シンボリック・リンク攻撃に対して、アップデート・プロセスを強化している。
Windows Update プロセスに発見された新たな脆弱性は、コード・インジェクションを伴わずに EDR や AMSI による検出を回避するという、なかなか厄介なものです。PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。Windows ユーザーの皆さまは、十分にご注意ください。よろしければ、Windows で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.