Lỗ Hổng Nghiêm Trọng CVE-2025-21420 Trên Windows Disk Cleanup: Nguy Cơ Quyền SYSTEM

14/06/2025
2 mins read
Nội dung
Lỗ hổng nghiêm trọng trong Windows Disk Cleanup Tool (CVE-2025-21420) và PoC khai thác quyền SYSTEM
1. Tổng quan về lỗ hổng
2. Kỹ thuật khai thác
3. Các bước khai thác (Proof-of-Concept)
4. Biện pháp giảm thiểu
5. Kết luận

Lỗ hổng nghiêm trọng trong Windows Disk Cleanup Tool (CVE-2025-21420) và PoC khai thác quyền SYSTEM

Một lỗ hổng nâng cao đặc quyền (Elevation of Privilege – EoP) nghiêm trọng đã được phát hiện trong công cụ Windows Disk Cleanup, với định danh CVE-2025-21420. Lỗ hổng này cho phép kẻ tấn công thực thi mã độc với quyền SYSTEM thông qua các kỹ thuật DLL sideloading và directory traversal. Dưới đây là phân tích chi tiết về lỗ hổng, cách khai thác và biện pháp giảm thiểu.

1. Tổng quan về lỗ hổng

  • Lỗ hổng nằm trong công cụ Windows Disk Cleanup, cho phép kẻ tấn công thực thi mã độc với quyền hạn SYSTEM bằng cách lợi dụng các kỹ thuật như DLL sideloading và directory traversal.
  • Điểm CVSS của lỗ hổng là 7.8, được xếp hạng ở mức độ nghiêm trọng cao.

2. Kỹ thuật khai thác

Lỗ hổng được khai thác thông qua tác vụ SilentCleanup, vốn chạy tệp cleanmgr.exe với quyền hạn nâng cao. Quá trình này kiểm tra các thư mục cụ thể như C:\WindowsC:\Download, nhưng không xác minh liệu thư mục C:\ESD có phải là một junction hay không. Bằng cách tạo các thư mục tùy ý và thao túng nội dung bên trong, kẻ tấn công có thể chuyển hướng quy trình dọn dẹp để thực thi mã độc.

3. Các bước khai thác (Proof-of-Concept)

Dưới đây là các bước chi tiết để thực hiện khai thác lỗ hổng này:

Step 1: Tạo các thư mục C:\$Windows.~WS, C:\ESD\Windows và C:\ESD\Download, sau đó chèn các tệp .txt giả mạo vào các thư mục này.
Step 2: Thiết lập cấu hình Config.msi bằng script FolderOrFileDeleteToSystem.
Step 3: Chuyển hướng quá trình dọn dẹp nội dung từ C:\ESD\Windows sang C:\Config.msi bằng script FolderContentsDeleteToFolderDelete.
Step 4: Chạy lại script Python và kích hoạt SilentCleanup để khởi động quá trình dọn dẹp, từ đó thực thi mã độc.
Step 5: Chạy osk.exe và nhấn Ctrl-Alt-Delete để giành quyền SYSTEM.

4. Biện pháp giảm thiểu

Để giảm thiểu nguy cơ bị khai thác, cần thực hiện các biện pháp sau:

  • Loại trừ các tiến trình liên quan đến khai thác khỏi phần mềm diệt virus như Windows Defender để tránh bị phát hiện trong quá trình kiểm tra bảo mật.
  • Áp dụng các bản vá bảo mật từ Microsoft ngay khi có sẵn (nếu đã được phát hành cho CVE-2025-21420).
  • Thực hiện giám sát và săn tìm mối đe dọa chủ động (proactive threat hunting) nhằm phát hiện các hành vi bất thường liên quan đến công cụ Disk Cleanup.

5. Kết luận

Lỗ hổng CVE-2025-21420 trong Windows Disk Cleanup cho thấy khả năng kẻ tấn công có thể thao túng các công cụ hệ thống tích hợp để đạt được quyền hạn cao nhất. Điều này nhấn mạnh tầm quan trọng của việc cập nhật bản vá kịp thời và triển khai các biện pháp giám sát bảo mật hiệu quả để bảo vệ hệ thống khỏi các mối đe dọa nâng cao đặc quyền.