微软在 2025 年 2 月的 “周二补丁日” 中,修复了 Windows 磁盘清理工具(cleanmgr.exe)存在的一个漏洞。该漏洞编号为 CVE-2025-21420,攻击者可利用此漏洞在存在漏洞的系统上获取 SYSTEM 权限。这个漏洞的通用漏洞评分系统(CVSS)评分为 7.8,给 Windows 用户带来了重大风险。该漏洞被匿名报告给微软,随后,一名安全研究人员在 GitHub 上发布了概念验证漏洞利用代码。该漏洞利用借助磁盘清理工具 cleanmgr.exe 实施 DLL 劫持技术。从本质上来说,研究人员展示了如何伪装恶意 DLL,并让磁盘清理工具加载它,从而有效地劫持其执行路径。已发布的概念验证概述了以下步骤:$ cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.dll$ cleanmgr /sageset:2研究人员的记录表明,使用的是标准的 DLL 劫持技术。虽然他们仍在研究权限提升的具体机制,但他们指出,安排 cleanmgr.exe 在 NT AUTHORITY\SYSTEM 账户下运行,或者等待系统触发执行(例如,由于磁盘空间不足或临时文件过多)可能是潜在的攻击途径。微软在 2025 年 2 月 “周二补丁日” 的更新中修复了这个漏洞。此补丁修复了 55 个安全漏洞,其中包括 4 个零日漏洞,其中有两个正在被黑客在实际环境中利用。强烈建议用户立即应用此更新,以保护他们的系统免受潜在攻击。该漏洞利用方法相对简单,再加上存在系统级被攻破的可能性,使得 CVE-2025-21420 成为一个严重威胁。尚未应用 2025 年 2 月补丁的用户应优先进行更新,以降低风险。有关该补丁以及其他已修复漏洞的更多详细信息,可在微软安全响应中心网站上查看。
