Windows Admin Center Vulnerability (CVE-2025-64669) Let Attackers Escalate Privileges
2025/12/16 CyberSecurityNews — Windows Admin Center (WAC) バージョン 2.4.2.1 において、新たなローカル権限昇格の脆弱性 CVE-2025-64669 が発見された。この脆弱性が影響を及ぼす範囲は、WAC 2411 以下のバージョンを実行している全ての環境である。脆弱性 CVE-2025-64669 は、”WindowsAdminCenter” フォルダの不適切なアクセス権限に起因する (詳細なパスは後述)。このフォルダは、一般のユーザーによる書き込みが可能でありながら、昇格された権限で実行されるサービスで用いられるものだ。
この Windows Admin Center の問題は、広範なシステム環境に影響を及ぼす。具体的には、Windows Server/クラスター/ハイパー・コンバージド・インフラおよび、Windows 10/11 エンドポイントの集中管理ゲートウェイなどに影響が生じる。
Windows Admin Center (WAC) を利用して特権管理ワークフロー/統合エクステンション/サーバ管理を行い、WAC ホスト上で低権限ユーザーにローカル・ファイル・システムへのアクセスを許す組織は、このリスクにさらされる。
当初は深刻度の低いミスコンフィグと見なされていた問題が、設計上の深刻な脆弱性であることが、Cymulate の研究者たちの調査により明らかになった。
書き込み可能な WAC データ・ディレクトリには、NETWORK SERVICE や SYSTEM で実行されるコンポーネントやプロセスも含まれている。したがって、低権限者のためのファイル・システム設定が、Windows のセキュリティ境界を直接侵害する経路へと、このミスコンフィグにより変化した。
この調査チームが分析したのは、WAC がインストール/更新/エクステンション管理といった特権を必要とする高度な操作を、WAC が処理する方式である。その結果として、低権限のユーザーが SYSTEM レベルのアクセス権限を取得できる、2種類のエクスプロイト・チェーンが特定された。
1つ目のチェーンは、エクステンションのアンインストール・メカニズムの悪用であり、2つ目は、DLL 読み込みの脆弱性の悪用によるアップデータの乗っ取りである。いずれの経路も再現性が高いが、WAC サーバ上のローカル・ユーザー権限のみを前提としている。
1つ目のチェーンにおいて、研究者が注目したのは、エクステンションのアンインストール・プロセスである。dnSpy を用いて WAC の .NET バイナリを逆コンパイルした結果として確認されたのは、WAC UI ディレクトリ配下に uninstall フォルダ・パスを作成し、そのフォルダ内に存在するすべての PowerShell.ps1 スクリプトを列挙するコードである。このコードが実行される際には、特権コンテキスト下の AllSigned 実行ポリシーが適用される。
この uninstall フォルダの親ディレクトリには、すべてのユーザーが書き込み可能である。そのため、署名済み PowerShell スクリプトを当該フォルダに配置できる攻撃者であれば、標的とするエクステンションが WAC UI または API 経由で削除されるたびに、このスクリプトによる昇格権限が実行される。
Cymulate が示したデモンストレーションは、以下のパスにカスタム・エクステンション用のアンインストール・ディレクトリを作成し、署名済みスクリプトを配置した上でアンインストール・フローをトリガーするものだ。
“C:\ProgramData\WindowsAdminCenter\Extensions\<ExtensionName>”
このペイロード (スクリプト) は、NETWORK SERVICE/SYSTEM 権限で実行され、その出力をパブリック・ディレクトリに書き込むものだ。その結果として実証されたのは、ローカルの一般ユーザーが、正規のアンインストール・メカニズムを悪用して権限昇格を実行できることだった。
2つ目のチェーンで標的とされたのは、WAC のアップデータ・コンポーネント “WindowsAdminCenterUpdater.exe” である。リバース・エンジニアリングの過程で Cymulate が特定したのは、すべてのユーザーが書き込み可能な以下のパスから、このアップデータが DLL をロードしていることだった。
“C:\ProgramData\WindowsAdminCenter\Updater”
最初の DLL ハイジャックの試行は署名検証により拒否されたが、処理フローを詳細に調査した結果、検証時と使用時の時間差 (TOCTOU:Time-of-Check to Time-of-Use) に起因する脆弱性が明らかになった。
具体的に言うと、アップデータ実行ファイルが起動される前の WindowsAdminCenter のメイン・プロセス内で、この署名検証は実施される。一般ユーザーとして “WindowsAdminCenterUpdater.exe” の生成を監視し続け、生成された直後に悪意の user32.dll をアップデータ・ディレクトリへコピーすることで、この競合状態の悪用が可能なことを、Cymulate は実証した。
この競合状態から生じるのは、攻撃者が制御する DLL が未検証のままロードされ、管理者権限を持たない一般のユーザー・アカウントから、SYSTEM 権限で実行されるシナリオである。
これらの分析結果が示すのは、ローカル・ユーザーが変更できるディレクトリから読み込まれたコンテンツを、WAC が暗黙的に信頼している状況である。それにより、Windows システムにおける本来の権限分離を損なうという、設計上の問題が生じる。
この脆弱性 CVE-2025-64669 を確認した Microsoft は、その深刻度を High と評価し、Cymulate に対して $5,000 のバグ報奨金を支給した。
この脆弱性に対する、防御側による評価/検証のために、Cymulate は 2025年12月15日に Exposure Validation プラットフォームを更新し、新たなシナリオとして “WindowsAdminCenter – CVE-2025-64669 ローカル権限昇格” を追加した。したがってユーザー組織は、このシナリオを WAC ゲートウェイに対して実行し、コンフィグにおける脆弱性の有無を確認できる。さらに、SIEM/EDR などのセキュリティ制御が、この攻撃パターンを検知して対応できるかどうかを評価できる。
Cymulate が公開したタイムラインによると、この脆弱性は 2025年8月5日に、MSRC 経由で Microsoft に報告された。その後の 8月29日に Microsoft は受理し、9月3日には報奨金が支給されたという。その後の 11月12日に、Microsoft が研究者に対して通知した内容は、深刻度 High の CVE が発行され、12月10日の Patch Tuesday リリースに修正が組み込まれるという予定だった。
Windows Admin Center の脆弱性 CVE-2025-64669 について、大切なポイントをまとめる記事です。この問題の原因は、システムの深部まで操作できる特別な権限を持ったプログラムが、一般のユーザーでも自由に読み書きできるフォルダのデータを信じて、そのまま使っていたところにあります。本来の Windows では、アクセス可能な場所が、権限ごとに厳しく分けられていますが、このフォルダ設定に不備があったことで、攻撃者が用意する偽のプログラムが、正規の命令であるかのように、高権限で実行されてしまうという欠陥が生じました。ご利用のチームは、ご注意ください。よろしければ、Windows での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.