Windows Cloud Files Mini Filtre Sürücüsünde, yerel saldırganların dosya yazma korumalarını atlamasına ve sistem işlemlerine kötü amaçlı kod yerleştirmesine olanak tanıyan bir ayrıcalık yükseltme kusuru keşfedildi.
Güvenlik araştırmacıları, Windows Cloud Files Mini Filtre Sürücüsünde yüksek önem derecesine sahip bir ayrıcalık yükseltme güvenlik açığı olan CVE-2025-55680’i ortaya çıkardı.
Kusur, Bulut Dosya Filtresi (cldsync.sys) sürücüsünün yer tutucu dosya oluşturma işlemleri sırasında dosya yolu doğrulamasını işlemesinde mevcuttur.
Güvenlik açığı özellikle çağrı zincirinde bulunuyor: HsmFltProcessHSMControl → HsmFltProcessCreatePlaceholders → HsmpOpCreatePlaceholders.
Microsoft daha önce Project Zero tarafından 2020’de bildirilen benzer bir dosya yazma güvenlik açığını yamalamıştı. Ancak mevcut uygulama kritik bir mantıksal kusur içeriyor.
Microsoft, dosya yollarındaki ters eğik çizgi ($$ ve iki nokta üst üste (:)) karakterlerinin sembolik bağlantı saldırılarını engellemek için kullanılmasını önlemek için kod eklerken, doğrulama kontrolü, Kontrol Zamanı Kullanım Süresi (TOCTOU) yarış koşulu aracılığıyla atlanabilir.
Saldırganlar, doğrulama kontrolü ile gerçek dosya işlemi arasındaki çekirdek belleğindeki yol dizesini değiştirerek, kötü amaçlı yolların güvenlik kontrollerinden geçmesine izin verebilir.
Açıklardan Yararlanma Nasıl Çalışır?
Kullanım tekniği birden fazla koordineli adım gerektirir. Saldırganlar öncelikle Uzaktan Erişim Hizmetini (rasman) başlatır ve Cloud Files API’yi kullanarak bir bulut dosya senkronizasyon kökü oluşturur.
Daha sonra, DeviceIoControl çağrıları aracılığıyla Bulut Dosya Filtresi sürücüsüne bağlanırlar ve filtre yöneticisi ile bir iletişim bağlantı noktası kurarlar.
Saldırgan daha sonra çekirdek belleğindeki bir yol dizesini sürekli olarak değiştiren ve onu masum bir dosya adından C:\Windows\System32 gibi sistem dizinlerine işaret eden sembolik bir bağlantıya dönüştüren bir iş parçacığı oluşturur.
Bir iş parçacığı dosya oluşturma işlemlerini gerçekleştirirken, başka bir iş parçacığı, güvenlik kontrolü ile dosya oluşturma arasındaki yarış durumu penceresinden yararlanarak bellek konumunu hızla değiştirir.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Bileşen | CVSS Puanı |
|---|---|---|---|
| CVE-2025-55680 | Ayrıcalık Yükseltmesi | Windows Bulut Dosyaları Mini Filtre Sürücüsü (cldsync.sys) | 7.8 |
Zamanlama mükemmel şekilde hizalandığında sürücü, standart erişim kontrollerini atlayarak yükseltilmiş çekirdek modu erişim ayrıcalıklarına sahip dosyalar oluşturur.
Saldırganlar, rasmxs.dll gibi kötü amaçlı DLL’leri korumalı sistem dizinlerine yazarak bunu silah haline getirir. Ssd-açıklaması tarafından bildirildiği üzere, ayrıcalıklı hizmetleri tehlikeye atılmış kitaplığı yüklemeye zorlamak için RPC çağrılarından yararlanılması, sistemin tamamen tehlikeye girmesine neden olur.
Bu güvenlik açığı Windows sistemleri için ciddi bir ayrıcalık yükseltme riski oluşturmaktadır. Saldırı, yerel sistem erişimi gerektiriyor ancak tam ayrıcalık yükseltme yetenekleri sunuyor.
Kimliği doğrulanmış herhangi bir kullanıcı, SİSTEM düzeyinde ayrıcalıklar kazanmak ve meşru sistem süreçleri aracılığıyla kalıcılığı sürdürmek için bu kusurdan yararlanma potansiyeline sahiptir.
Güvenlik açığı bulunan Windows sürümlerini çalıştıran kuruluşların, yararlanma tekniği basit ve güvenilir olduğundan, yama uygulamaya hemen öncelik vermesi gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
