Microsoft, Ekim 2025’te Windows Cloud Files Minifilter sürücüsünü etkileyen kritik bir yarış durumu güvenlik açığını giderdi.
CVE-2025-55680 olarak atanan kusur, ilk olarak Mart 2024’te keşfedildi ve OneDrive ve benzeri bulut senkronizasyon hizmetlerini kullanan sistemler için önemli bir güvenlik endişesini temsil ediyor.
| Bağlanmak | Detaylar |
| CVE Tanımlayıcı | CVE-2025-55680 |
| Güvenlik Açığı Türü | Yarış Durumu (TOCTOU) |
| Etkilenen Bileşen | cldflt.sys (Windows Bulut Dosyaları Mini Filtresi) |
Güvenlik açığı, senkronize bulut dizinlerinde yer tutucu dosya oluşturmayı yöneten cldflt.sys sürücüsündeki HsmpOpCreatePlaceholders() işlevinde bulunmaktadır.
Bu yarış durumu, saldırganların dosya adı doğrulama kontrollerini atlayabileceği ve sistem üzerinde herhangi bir yerde dosya oluşturabileceği, ayrıcalık yükseltmeyi etkili bir şekilde gerçekleştirebileceği dar ama sömürülebilir bir pencere oluşturur.
Teknik Kullanım Yöntemi
Güvenlik açığı, Windows Bulut Dosyaları Mini Filtresi’nin yer tutucu dosyalar oluşturmadan önce dosya adlarını doğrulama biçiminden kaynaklanmaktadır.
Bir kullanıcı, CfCreatePlaceholders API aracılığıyla yer tutucu oluşturma isteğinde bulunduğunda, çekirdek sürücüsü, dosya adlarının ters eğik çizgi veya iki nokta üst üste karakterleri içermediğinden emin olmak için doğrulama gerçekleştirir; önceki CVE-2020-17136 yamasının ardından uygulanan bir denetimdir.
Ancak bu doğrulama adımı ile FltCreateFileEx2() aracılığıyla gerçek dosya oluşturma işlemi arasında kritik bir zamanlama boşluğu vardır.
Saldırgan, doğrulamadan sonra ancak dosya oluşturulmadan önce dosya adını değiştirerek meşru bir dosya adını yol geçiş yüküne dönüştürerek bu pencereden yararlanabilir.
Örneğin, doğrulama geçtikten sonra JUSTASTRING’i JUSTASTRING\newfile.dll olarak değiştirerek saldırgan, normalde kullanıcının erişemeyeceği korumalı dizinlerde dosyalar oluşturmak için kavşaklardan veya sembolik bağlantılardan yararlanabilir.
Bu teknik, sistem açısından kritik konumlara yetkisiz dosya yerleştirilmesine izin vererek ayrıcalık artışına yol açar.
Kullanım süreci, çekirdekteki bellek eşleme davranışından yararlanan birkaç dikkatli adımı içerir.
Yer tutucu oluşturma isteklerini işlerken, mini filtre, yer tutucu bilgilerini içeren kullanıcı alanı arabelleğini çekirdeğin sanal adres alanına eşler.
Bu eşleme, kullanıcı modu uygulamalarının, çekirdek verileri doğruladıktan sonra bile verileri değiştirmeye devam edebileceği paylaşılan bir bellek bölgesi oluşturur.
Saldırgan, doğrulama kontrollerini geçen, zararsız bir dosya adıyla özel hazırlanmış bir yer tutucu oluşturma isteği hazırlar.
Talimat işaretçisindeki doğrulama rutini ile işaretçideki dosya oluşturma çağrısı arasında, saldırgan, yol geçiş karakterlerini ekleyerek, eşlenen bellek bölgesi aracılığıyla dosya adı dizesini hızla değiştirir.
Zamanlama doğru şekilde hizalanırsa, çekirdek dosyayı değiştirilmiş yolu kullanarak rastgele bir konuma yazarak oluşturur.
FltCreateFileEx2(), sembolik bağlantı doğrulama işaretleri olmadan çağrıldığından ve çekirdek tanıtıcı niteliklerini kullandığından, Exodus Intelligence tarafından bildirildiği üzere işlem, normal kullanıcı modu erişim kontrollerini atlayarak yükseltilmiş ayrıcalıklarla tamamlanıyor.
Bu güvenlik açığının keşfi, özellikle kullanıcı ile çekirdek alanı arasında paylaşılan belleği içeren senaryolarda, çekirdek düzeyindeki dosya sistemi sürücülerinin güvenliğinin sağlanmasında devam eden zorlukların altını çiziyor.
Cloud Files Minifilter’ın etkin olduğu Windows sistemlerini çalıştıran kuruluşlar, bu riski etkili bir şekilde azaltmak için sistemlerinin Ekim 2025 güvenlik düzeltme ekleriyle tamamen güncellendiğinden emin olmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.