CVE-2025-62221

Microsoft Windows

ВЕРОЯТНОСТЬ 3.0%
Дата обнаружения

2025-12-09

Официальное описание

Microsoft Windows Cloud Files Mini Filter Driver contains a use after free vulnerability that can allow an authorized attacker to elevate privileges locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-62221 относится к классу Use-After-Free (использование памяти после освобождения) и локализована в драйвере мини-фильтра облачных файлов Microsoft Windows (cldflt.sys). Проблема возникает из-за некорректного управления жизненным циклом объектов в памяти ядра. Когда драйвер пытается обратиться к участку памяти, который уже был освобожден, это вызывает повреждение памяти. Локальный злоумышленник, уже имеющий базовый доступ к системе (авторизованный пользователь), может специально сформировать запрос к драйверу для эксплуатации этой ошибки. Успешная эксплуатация позволяет выполнить произвольный код в контексте ядра (SYSTEM), что приводит к полному локальному повышению привилегий (Local Privilege Escalation, LPE) и компрометации узла.

Как исправить

Единственным полным и поддерживаемым решением является установка актуального накопительного пакета обновлений безопасности (Security Update) от Microsoft, в котором исправлена логика работы драйвера cldflt.sys с памятью.

  • Определите версию вашей операционной системы Windows.
  • Перейдите на портал Microsoft Security Update Guide и найдите номер статьи базы знаний (KB), соответствующий CVE-2025-62221 для вашей версии ОС.
  • Установите обновление через Центр обновления Windows (Windows Update) или скачайте его вручную из каталога Центра обновления Майкрософт (Microsoft Update Catalog).
  • Для автоматизированной установки обновлений через PowerShell можно использовать модуль PSWindowsUpdate:
Install-Module -Name PSWindowsUpdate -Force


Install-WindowsUpdate -AcceptAll -AutoReboot
  • После установки обновления обязательно выполните перезагрузку системы, так как уязвимость находится в драйвере уровня ядра.

Временные меры

Если немедленная установка патча невозможна, в качестве компенсирующей меры можно отключить уязвимый драйвер cldflt.sys.

Внимание: Отключение этого драйвера нарушит работу функций "Файлы по запросу" (Files On-Demand) в Microsoft OneDrive и других клиентах облачных хранилищ, использующих Windows Cloud Files API. Применяйте эту меру только в том случае, если данный функционал не является критичным для бизнес-процессов на защищаемом узле (например, на серверах).

  • Для отключения запуска драйвера выполните следующую команду от имени администратора:
sc config cldflt start= disabled
  • Для применения изменений и выгрузки драйвера из памяти необходимо перезагрузить компьютер:
Restart-Computer -Force
  • Чтобы вернуть настройки по умолчанию после установки официального патча, используйте команду:
sc config cldflt start= demand
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей