Ευπάθεια Κέντρου διαχειριστή των Windows (CVE-2025-64669) Επιτρέπει στους επιτιθέμενους να κλιμακώνουν τα προνόμια

Μια νέα ευπάθεια κλιμάκωσης τοπικών προνομίων στο Κέντρο διαχείρισης των Windows (WAC) της Microsoft, που επηρεάζει εκδόσεις έως 2.4.2.1 και περιβάλλοντα που εκτελούν WAC 2411 και παλαιότερες εκδόσεις.

Παρακολούθηση ως CVE-2025-64669, το ελάττωμα προέρχεται από μη ασφαλή δικαιώματα καταλόγου στον φάκελο C:\ProgramData\WindowsAdminCenterτο οποίο είναι εγγράψιμο από τυπικούς χρήστες αλλά χρησιμοποιείται από υπηρεσίες που εκτελούνται με αυξημένα προνόμια.

Επειδή το Windows Admin Center έχει αναπτυχθεί ευρέως ως κεντρική πύλη διαχείρισης για Windows Server, συμπλέγματα, υπερσυγκλίνουσα υποδομή και τερματικά σημεία των Windows 10/11, το ζήτημα έχει ευρύ αντίκτυπο σε επίπεδο τεχνολογίας.

Οποιοσδήποτε οργανισμός βασίζεται στο WAC για προνομιακές ροές εργασίας διαχείρισης, ενσωματωμένες επεκτάσεις ή διαχείριση διακομιστή κληρονομεί τον κίνδυνο όπου οι τυπικοί χρήστες έχουν πρόσβαση στο τοπικό σύστημα αρχείων σε κεντρικούς υπολογιστές WAC.

Οι ερευνητές του Cymulate ανακάλυψαν ότι αυτό που αρχικά φαινόταν να είναι μια εσφαλμένη διαμόρφωση χαμηλής σοβαρότητας κλιμακώθηκε γρήγορα σε μια κρίσιμη αδυναμία σχεδιασμού.

Ο εγγράψιμος κατάλογος δεδομένων WAC φιλοξενεί επίσης στοιχεία και διεργασίες που εκτελούνται υπό την υπηρεσία NETWORK SERVICE και ακόμη και το SYSTEM. Αυτός ο συνδυασμός μετέτρεψε αποτελεσματικά μια επιτρεπτή διαμόρφωση συστήματος αρχείων σε μια άμεση διαδρομή για να θέσει σε κίνδυνο τα όρια ασφαλείας των Windows.

Αναλύοντας τον τρόπο με τον οποίο το WAC χειρίζεται ευαίσθητες λειτουργίες όπως η εγκατάσταση, οι ενημερώσεις και η διαχείριση επεκτάσεων, η ομάδα εντόπισε δύο ανεξάρτητες αλυσίδες εκμετάλλευσης που επιτρέπουν σε έναν χρήστη με χαμηλά προνόμια να αποκτήσει πρόσβαση σε επίπεδο ΣΥΣΤΗΜΑΤΟΣ: κατάχρηση του μηχανισμού απεγκατάστασης της επέκτασης και παραβίαση του προγράμματος ενημέρωσης μέσω ελαττώματος φόρτωσης DLL. Και οι δύο διαδρομές είναι αξιόπιστες και απαιτούν μόνο δικαιώματα τοπικού χρήστη στον διακομιστή WAC.

Στο πρώτο σενάριο, οι ερευνητές εστίασαν στη διαδικασία απεγκατάστασης της επέκτασης. Απομεταγλωττίζοντας τα δυαδικά αρχεία WAC .NET με το dnSpy, εντόπισαν κώδικα που κατασκευάζει μια διαδρομή φακέλου “απεγκατάσταση” κάτω από τον κατάλογο διεπαφής χρήστη WAC, απαριθμεί όλα PowerShel.ps1 σενάρια σε αυτόν τον φάκελο και τα εκτελεί με μια πολιτική εκτέλεσης AllSigned σε ένα προνομιακό περιβάλλον.

Επειδή ο γονικός κατάλογος είναι εγγράψιμος από οποιονδήποτε χρήστη, ένας εισβολέας που μπορεί να τοποθετήσει ένα υπογεγραμμένο σενάριο PowerShell σε αυτόν τον φάκελο απεγκατάστασης μπορεί να εκτελεστεί με αυξημένα δικαιώματα όποτε η αντίστοιχη επέκταση αφαιρείται μέσω του WAC UI ή του API.

Για επίδειξη, το Cymulate δημιούργησε έναν κατάλογο απεγκατάστασης προσαρμοσμένης επέκτασης κάτω από C:\ProgramData\WindowsAdminCenter\Extensions\έπεσε σε ένα υπογεγραμμένο σενάριο και ενεργοποίησε τη ροή απεγκατάστασης.

Το ωφέλιμο φορτίο λειτουργούσε ως NETWORK SERVICE ή SYSTEM και έγραψε την έξοδο του σε έναν δημόσιο κατάλογο, αποδεικνύοντας ξεκάθαρα ότι ένας τοπικός τυπικός χρήστης μπορεί να κάνει piggyback σε αυτόν τον αξιόπιστο μηχανισμό απεγκατάστασης για να αυξήσει τα δικαιώματα.

Η δεύτερη διαδρομή εκμετάλλευσης στοχεύει το στοιχείο ενημέρωσης WAC, WindowsAdminCenterUpdater.exe. Κατά τη διάρκεια της αντίστροφης μηχανικής, η Cymulate παρατήρησε ότι το πρόγραμμα ενημέρωσης φορτώνει αρχεία DLL από C:\ProgramData\WindowsAdminCenter\Updaterμια άλλη τοποθεσία που μπορεί να εγγραφεί παγκοσμίως.

Οι αρχικές προσπάθειες παραβίασης DLL απέτυχαν λόγω ενός βήματος επικύρωσης υπογραφής που απέρριψε ανυπόγραφες βιβλιοθήκες. Ωστόσο, μια πιο προσεκτική ματιά στη ροή αποκάλυψε ένα κλασικό κενό μεταξύ χρόνου ελέγχου και χρόνου χρήσης.

Η επικύρωση υπογραφής πραγματοποιείται εντός της κύριας διαδικασίας WindowsAdminCenter πριν από την εκκίνηση του εκτελέσιμου προγράμματος ενημέρωσης. Η Cymulate το εκμεταλλεύτηκε αυτό παρακολουθώντας για τη δημιουργία WindowsAdminCenterUpdater.exe ως κανονικός χρήστης και, τη στιγμή που εμφανίστηκε, αντιγράφοντας έναν κακόβουλο user32.dll στον κατάλογο του προγράμματος ενημέρωσης.

Αυτή η συνθήκη φυλής επέτρεψε τη φόρτωση του DLL που ελέγχεται από τον εισβολέα από το πρόγραμμα ενημέρωσης χωρίς να υποβληθεί σε προηγούμενη επικύρωση, εκτελώντας με δικαιώματα SYSTEM από λογαριασμό που δεν ήταν διαχειριστής.

Και οι δύο τεχνικές εκμετάλλευσης αποδεικνύουν ότι το WAC εμπιστεύεται έμμεσα το περιεχόμενο που έχει φορτωθεί από έναν κατάλογο που μπορεί να τροποποιήσει οποιοσδήποτε τοπικός χρήστης, υπονομεύοντας τον επιδιωκόμενο διαχωρισμό προνομίων στα συστήματα Windows.

Microsoft επιβεβαιωμένος η ευπάθεια, εκχώρησε στο CVE-2025-64669 μια βαθμολογία Σημαντική σοβαρότητα και απένειμε στο Cymulate ένα μπόνους σφάλματος 5.000 USD.

Για να βοηθήσει τους υπερασπιστές να αξιολογήσουν και να επικυρώσουν την έκθεσή τους, στις 15 Δεκεμβρίου 2025, η Cymulate ενημέρωσε την πλατφόρμα επικύρωσης έκθεσης με ένα νέο σενάριο, “WindowsAdminCenter – CVE-2025-64669 Local Privilege Escalation”. Οι πελάτες μπορούν να εκτελέσουν αυτό το σενάριο στις πύλες του Windows Admin Center για να ελέγξουν εάν οι διαμορφώσεις τους είναι ευάλωτες και να αξιολογήσουν πόσο καλά τα στοιχεία ελέγχου ασφαλείας SIEM, EDR και άλλων τελικών σημείων εντοπίζουν και ανταποκρίνονται στα μοτίβα επίθεσης.

Σύμφωνα με το Cymulate’s φανερωθείς χρονοδιάγραμμα, η ευπάθεια αναφέρθηκε στη Microsoft μέσω MSRC στις 5 Αυγούστου 2025, αναγνωρίστηκε στις 29 Αυγούστου και ανταμείφθηκε στις 3 Σεπτεμβρίου.

Στις 12 Νοεμβρίου, η Microsoft ενημέρωσε τους ερευνητές ότι θα εκδοθεί ένα CVE με Σημαντική σοβαρότητα και ότι σχεδιαζόταν μια επιδιόρθωση για συμπερίληψη στην έκδοση ενημέρωσης κώδικα Τρίτης 10 Δεκεμβρίου, υπογραμμίζοντας την επείγουσα ανάγκη για τους οργανισμούς να παρακολουθούν και να εφαρμόζουν τις αντίστοιχες ενημερώσεις WAC μόλις γίνουν διαθέσιμες.