Исследователи в области безопасности обнаружили критическую уязвимость в Windows Admin Center (WAC) от Microsoft, которая позволяет обычным пользователям повысить свои привилегии до уровня SYSTEM, используя незащищенные разрешения в папки и несовершенные механизмы обновления.
Эта уязвимость, известная под номером CVE-2025-64669, влияет на все версии WAC 2411 и представляет значительную угрозу для систем управления инфраструктурой предприятий во всем мире.
Основная уязвимость
Уязвимость связана с опасными ошибками в настройках каталога C:\ProgramData\WindowsAdminCenter, доступном для записи всем стандартным пользователям.
Исследователи Cymulate обнаружили, что привилегированные процессы загружают содержимое непосредственно из этого неправильно защищенного каталога, создавая многочисленные векторы атак, которые можно объединить для нарушения пределов безопасности Windows.
Компания Microsoft подтвердила наличие уязвимости и наградила Cymulate премией в размере 5000 долларов за ответственное раскрытие информации.
Злоумышленники могут использовать первый вектор атаки, злоупотребляя процессом удаления расширения Windows Admin Center.
Приложение ищет в папке удаления скрипты PowerShell и выполняет их с политикой выполнения AllSigned с повышенными привилегиями.
Поскольку родительский каталог остается доступным для записи стандартными пользователями, злоумышленники могут размещать в папке удаления вредоносные подписанные скрипты PowerShell.
Когда процесс удаления запускается через пользовательский интерфейс, скрипт выполняется с правами NETWORK SERVICE или SYSTEM, что предоставляет полный административный контроль.
Исследователи продемонстрировали эту атаку, создав специальную папку для удаления, разместив в ней подписанный вредоносный скрипт и запустив процесс удаления через API WAC.
Полезная нагрузка была успешно выполнена в повышенном контексте, что подтвердило серьезность уязвимости.
Второй вектор атаки нацелен на механизм обновления Windows Admin Center, загружающий DLL-файлы из каталога C:\ProgramData\WindowsAdminCenter\Updater, доступного для записи обычным пользователям.
Хотя программа обновления включает проверку подписи, исследователи обнаружили критическую уязвимость Time-of-Check Time-of-Use (TOCTOU), которая делает эту защиту неэффективной.
Злоумышленники используют эту уязвимость, создавая скрипт PowerShell, который отслеживает процесс обновления, а затем немедленно копирует вредоносную DLL в папку программы обновления до того, как пройдет проверка подписи.
Такая точность синхронизации позволяет выполнять вредоносный код без обнаружения.
Исследователи подтвердили атаку, создав специальный файл user32.dll, демонстрировавший выполнение кода с привилегиями SYSTEM, используя только стандартные права пользователя.
Windows Admin Center широко используется предприятиями по всему миру, а ИТ-администраторы полагаются на WAC для управления серверами, кластерами и гибридными облачными средами в больших масштабах.
Широкое влияние этой уязвимости затрагивает организации любого размера, от малых предприятий до транснациональных корпораций.
Любой злоумышленник, имеющий локальный доступ к шлюзовому серверу Windows Admin Center, может использовать эту уязвимость для получения административных привилегий, что может привести к компрометации всей инфраструктуры систем управления и распространению угрозы на все управляемые серверы.
Компания Microsoft выпустила поправку для устранения этой уязвимости. Организации должны немедленно обновить Windows Admin Center до версии выше 2411 и провести тщательную проверку развертываний WAC для выявления потенциальных уязвимостей.
Задержка устранения недостатков значительно увеличивает риск несанкционированного административного доступа и нарушение целостности инфраструктуры.
Источник: Windows Admin Center Vulnerability Allows Attackers to Escalate Privileges
