漏洞概述 | |||
漏洞名称 | Windows Cloud Files Mini Filter Driver 本地权限提升漏洞 | ||
漏洞编号 | QVD-2020-69025,CVE-2020-17103 | ||
公开时间 | 2020-12-09 | 影响量级 | 千万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 7.8 |
威胁类型 | 权限提升 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可利用该漏洞,通过精心构造的竞态条件攻击,向 .DEFAULT 用户配置单元写入任意注册表键值,将普通用户权限提升至 SYSTEM 系统最高权限,从而完全控制目标主机。 | |||
01 漏洞详情
影响组件
Windows Cloud Files Mini Filter Driver(cldflt.sys)是 Windows 系统核心文件系统过滤驱动,主要为 OneDrive 等云存储服务提供占位符文件管理、云端文件同步、文件访问控制等关键功能,保障本地与云端文件的高效协同与权限隔离。该驱动运行于内核态,直接参与文件 IO 请求处理,是系统文件管理与云服务集成的基础组件,广泛部署于各类 Windows 终端与服务器设备,其安全性直接影响系统内核权限边界与数据安全。
漏洞描述
近日,奇安信CERT监测到Windows Cloud Files Mini Filter Driver 本地权限提升漏洞(CVE-2020-17103)仍未修复,该漏洞源于 cldflt.sys 驱动中的 HsmOsBlockPlaceholderAccess 例程在处理注册表项创建时,未正确实施访问检查。攻击者可利用该漏洞,通过精心构造的竞态条件攻击,在用户态与匿名令牌之间进行切换,操纵内核中的 RtlOpenCurrentUser 函数,以绕过正常的访问限制,向 .DEFAULT 用户配置单元写入任意注册表键值,将普通用户权限提升至 SYSTEM 系统最高权限,从而完全控制目标主机。Microsoft 曾宣称在2020年12月修复,但实际补丁不完整或被回滚,导致在最新 Windows 11 系统上仍可被利用。目前该漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
目前所有 Windows 版本(包括最新 Windows 11 已打全补丁的系统)
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Windows Cloud Files Mini Filter Driver 本地权限提升漏洞(CVE-2020-17103),截图如下:
04 处置建议
安全更新
截至本通告发布时,微软尚未针对 MiniPlasma 披露发布官方安全更新。建议采取以下措施:
1.监控微软安全响应中心(MSRC)关于 CVE-2020-17103 的最新公告,并及时安装相关安全更新。
2.严格审核和限制本地用户账户,避免向非必要用户授予本地登录权限。
05 参考资料
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103
[2]https://github.com/Nightmare-Eclipse/MiniPlasma
[3]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-17103
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
