PoC Exploit Unveiled for Windows Disk Cleanup Elevation Vulnerability
2025/06/13 gbhackers — Microsoft Windows Disk Cleanup Utility (cleanmgr.exe) に存在する特権昇格の脆弱性 CVE-2025-21420 (CVSS:7.8) が、2025年2月の Patch Tuesday で修正された。この脆弱性の悪用に成功した攻撃者は、DLL サイドローディングとディレクトリ・トラバーサルにより、SYSTEM 権限で悪意のコードを実行する可能性を手にする。
脆弱性 CVE-2025-21420 の技術分析
この脆弱性は、cleanmgr.exe が DLL ロードパスを検証せず、シンボリック・リンク攻撃を緩和できないことに起因する。
主な要素は次のとおりだ:
1. 悪用のメカニズム
- DLL サイドローディング:攻撃者は、書き込み可能なシステム・ディレクトリに、悪意のライブラリ (例:dokannp1.dll) を埋め込む:bash
cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.dll cleanmgr /sageset:2。 このコマンド群は、パスのインターセプトを利用して、署名されていない DLL を読み込ませる。 - SilentCleanup タスクの乗っ取り:Windows Task Scheduler の SilentCleanup タスク (SYSTEM として実行) は、シンボリック・リンクの適切なチェックを行わずに、フォルダの内容を削除する。攻撃者は、これを次のように悪用する:python
# Exploit script structure os.makedirs(r'C:\$Windows.~WS') os.makedirs(r'C:\ESD\Windows') open(r'C:\ESD\Windows\dummy.txt', 'w').close()。 攻撃者は、フォルダの削除をC:\Config.Msiにリダイレクトすることで、任意のファイル操作を実行できる。
2. 脆弱性チェーン
| パッチ適用前 | パッチ適用後の緩和措置 |
|---|---|
| シンボリック・リンクに対するリダイレクト・ガードなし | SetProcessMitigationPolicy が有効 |
| ユーザー・パスからの信頼できない DLL の読み込み | DLL に対する厳格な署名検証 |
| ジャンクション経由の特権ファイル削除 | CWE-59 はパス正規化により解決 |
PoC (Proof-of-Concept) ワークフロー
セキュリティ研究者たちは、多段階のプロセスによるエクスプロイトを実証した:
- フォルダの設定:ダミー・ファイルを取り込んだネストされたディレクトリ (C:\ESD\Windows) を作成し、SilentCleanup の削除ルーチンをトリガーする。
- ジャンクションのリダイレクト:FolderContentsDeleteToFolderDelete を使用して、C:\ESD\Windows を C:\Config.Msi を指すジャンクションに変換する。
- 特権昇格:クリーンアップ後に osk.exe を実行して、侵害された Config.Msi ディレクトリ経由で SYSTEM シェルを生成する。
python# Sample exploit script (abridged)
import os, time
os.makedirs(r'C:\$Windows.~WS', exist_ok=True)
os.makedirs(r'C:\ESD\Windows', exist_ok=True)
with open(r'C:\ESD\Windows\dummy.txt', 'w') as f: f.write('trigger')
input("Press Enter after setting up junctions...")
os.startfile(r'C:\Windows\System32\cleanmgr.exe')
緩和策とパッチの展開
2025年2月の Microsoft 更新プログラムでは、以下の方法で、この脆弱性が修正された:
- リダイレクト・ガード: PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY を使用して、シンボリック・リンク攻撃をブロックする。
- DLL 署名強制:cleanmgr.exe は、ライブラリをロードする前にデジタル署名を検証するようになった。
推奨されるアクション:
- Windows Update/WSUS 経由で、KB5025321 を直ちに適用する。
- システム・ディレクトリで不正な DLL (例:
dokannp1.dll) を監査する。 - 標準以外のコンテキストにおける
cleanmgr.exeの実行を監視する。
2025年2月の Microsoft Patch Tuesday では、アクティブに悪用されているゼロデイ脆弱性 (Windows Ancillary Function Driver:CVE-2025-21418/NTLM:CVE-2025-21377) を含む、67 件の脆弱性が修正された。
この脆弱性は、悪用が容易であり、深刻な影響を及ぼすため、優先的なパッチ適用が強く推奨される。
Windows の標準ユーティリティである cleanmgr.exe に、深刻な特権昇格の脆弱性が発見されました。DLL サイドローディングやジャンクションを使った攻撃チェーンは、現実的なリスクが高いとされるものです。2025年2月の Patch Tuesday で修正されていますので、Windows ユーザーさんは、ご確認ください。よろしければ、Windows で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.