CVE-2025-21391

Microsoft Windows

ВЕРОЯТНОСТЬ 5.4%
Дата обнаружения

2025-02-11

Официальное описание

Microsoft Windows Storage contains a link following vulnerability that could allow for privilege escalation. This vulnerability could allow an attacker to delete data including data that results in the service being unavailable.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-21391 представляет собой уязвимость типа Link Following (следование по символьным ссылкам) в компоненте Microsoft Windows Storage. Проблема возникает из-за некорректной обработки файловых операций процессом с высокими привилегиями.

Злоумышленник с низким уровнем прав может создать специально подготовленную символьную ссылку (junction point или hardlink) в директории, к которой у него есть доступ на запись. Когда системная служба Windows Storage обращается к этой ссылке, операция перенаправляется на защищенный системный файл или директорию. Это позволяет атакующему: 1. Выполнить произвольное удаление критически важных системных данных. 2. Вызвать отказ в обслуживании (DoS) операционной системы. 3. Повысить свои привилегии в системе (LPE) за счет манипуляции состоянием файловой системы.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday, февраль 2025).

  1. Проверьте наличие доступных обновлений через Windows Update:
Control.exe /name Microsoft.WindowsUpdate
  1. Для автоматизированной проверки и установки обновлений через PowerShell (требуется модуль PSWindowsUpdate):
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Если вы используете WSUS или SCCM, убедитесь, что пакеты обновлений за февраль 2025 года (или более поздние кумулятивные обновления) одобрены и развернуты на конечных точках.

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничьте права пользователей на создание символьных ссылок и точек соединения (Junction points) в общих и временных папках (например, C:\Temp, C:\Windows\Temp).

  2. Настройте аудит создания символьных ссылок через групповые политики (GPO):

auditpol /set /subcategory:"File System" /success:enable /failure:enable

  1. Используйте правила сокращения направлений атак (ASR) в Microsoft Defender для блокировки подозрительных манипуляций с файловой системой.

  2. Изолируйте критические сервисы и ограничьте доступ непривилегированных пользователей к системным инструментам управления хранилищем.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей