Windows Cloud Files Minifilter の脆弱性 CVE-2025-55680:権限昇格などの恐れ

Microsoft Windows Cloud Files Minifilter Privilege Escalation Vulnerability Exploited

2025/10/30 CyberSecurityNews — Microsoft が公表したのは、Windows Cloud Files Minifilter ドライバに存在する、深刻な競合状態の脆弱性 CVE-2025-55680 に対する修正の情報である。この脆弱性を悪用するローカルの攻撃者は権限を昇格し、システムのあらゆる場所に任意のファイルを作成する可能性を得る。この脆弱性は、2024年3月に Exodus Intelligence の研究者により発見され、2025年10月の Patch Tuesday で修正されている。攻撃ベクターとして、DLL サイドローディングを介した SYSTEM レベル・アクセスを許可する可能性があることから、CVSS スコアは 7.8 である。

広範囲にわたる悪用の事例は確認されていないが、”cldflt.sys” ドライバの単純な TOCTOU (time-of-check to time-of-use) の脆弱性として分類されるため、悪用される可能性が高いとセキュリティ専門家たちは懸念している。

Cloud Files Minifilter について

Cloud Files Minifilter のドライバは、OneDrive のファイル・オン・デマンドなどの機能をサポートし、クラウドに保存されたファイルへのアクセス時にハイドレートするローカル・プレースホルダとして、シームレスな同期を可能にする。

“cldapi.dll” の CfRegisterSyncRoot API を介して登録された同期ルート・ディレクトリは、ファイルのダウンロードと展開の時にハイドレートに関するポリシーを適用し、ディレクトリがクラウド・コンテンツを表示する方法を制御する。

これらのプレースホルダは IOCTL コード 0x903BC を介して管理され、ピン留め/完全/部分的などの状態にあるファイルを表す。CfCreatePlaceholders による作成などの操作は Minifilter により処理される。

Exodus Intelligence によると、このドライバはファイルの作成/読取/書込/制御のための IRP 主要機能をインターセプトし、ユーザー・リクエストをカーネル・モードで処理することで、安全なクラウド統合を実現する。

ただし、ユーザー空間 API とカーネル処理の密接な結合は、プレースホルダ作成時のファイル名などの入力を検証する際にリスクをもたらす。

競合状態の脆弱性により権限昇格が可能

脆弱性 CVE-2025-55680 の中核を成すのは、”cldflt.sys” の HsmpOpCreatePlaceholders 関数である。この関数は CfCreatePlaceholders によりトリガーされ、同期ルート直下にプレースホルダを構築する。

この関数が最初に行うのは、IoAllocateMdl と MmMapLockedPagesSpecifyCache を用いた、相対ファイル名 (relName) を含むユーザー指定のバッファのカーネル空間へのマッピングであり、ユーザービューとカーネルビューの間で物理メモリを共有する。

Exploit Chain
Exploit Chain

次に、relName にバックスラッシュなどの禁止文字が含まれないことを検証する。この処理は、脆弱性 CVE-2020-17136 以降に追加された安全策である。

しかし、このチェックと、その後にファイルを作成する FltCreateFileEx2 呼び出しの間には、わずかな時間差がある。

したがって攻撃者は、マッピングされたバッファを改変することで、この TOCTOU を悪用できる。たとえば、”JUSTASTRINGDnewfile.dll” のような文字列内の “D” を “\” に置き換えて “JUSTASTRING\newfile.dll” に変更できれば、事前に設定されたジャンクション・ポイントをドライバに辿らせ、”C:\Windows\System32″ のような特権パスへと移動できる。

シンボリック・リンクをブロックするフラグがない場合には、ファイルは権限をバイパスして制限領域へのファイルの配置が可能になる。

このエクスプロイトに必要な権限は低いが、複数のスレッドを連携させるものになる。1つは System32 でのファイル作成を監視し、もう1つは CfCreatePlaceholders に無害なペイロードを大量に送信し、競合者はバッファのバイトを切り替えてタイミング競争に勝つ。

このエクスプロイトに成功した攻撃者は、System32 などのサービスでハイジャックした悪意の DLL をサイドローディング用にドロップし、高権限 (SYSTEM 相当) でコードを実行できる。このセットアップには、同期ルートとジャンクションの登録、およびエスカレーション後のクリーンアップが含まれる。

Microsoft が強く推奨するのは早急なパッチ適用であり、クラウド同期ディレクトリにおける異常なファイル操作の、エンドポイント検出の重要性を強調している。

ユーザー企業にとって必要なことは、OneDrive の使用状況を監査し、ローカルの脅威を軽減するための最小権限ポリシーを適用することだ。このようなカーネルの脆弱性が浮き彫りにするのは、クラウドへの依存が高まるにつれて、ユーザー空間とシステム空間の橋渡しによる危険性が高まることだ。

Cloud Files Minifilter (cldflt.sys) がユーザー空間バッファをカーネルにマップしてから、禁止文字チェックとファイル作成を呼び出すまでの短時間において、競合 (TOCTOU) の脆弱性 CVE-2025-55680 が発生します。その隙を突き、攻撃者がバッファを書き換えてジャンクションやシンボリック・リンクを経由し特権領域へ任意のファイルを配置できるため、低権限からの権限昇格や DLL サイドローディングにつながると、この記事は指摘しています。すでに、2025年10月の Patch Tuesday で修正されている脆弱性ですので、パッチの適用状況を、ご確認ください。よろしければ、Windows で検索を、ご参照ください。