微軟OneDrive驅動程式遭競爭條件攻擊 系統權限恐遭駭客奪取

記者孫敬／編譯

微軟在2025年10月的「周二修補程式日」（Patch Tuesday）中，修補一個存在於Windows雲端檔案微過濾驅動程式（Cloud Files Minifilter driver） 中的競爭條件（Race Condition）漏洞，編號為CVE-2025-55680。

該漏洞由Exodus Intelligence的研究人員在2024年3月發現，CVSS 風險評分達7.8分。雖然目前尚未證實有廣泛的野外攻擊事件發生，但安全專家已將此漏洞歸類為「更有可能被利用」（exploitation more likely）的類型。

延伸閱讀：亞馬遜AWS營收優於市場預期！第三季營收年增20%成集團獲利主力

OneDrive微過濾器cldflt.sys為漏洞核心

CVE-2025-55680鎖定的目標是cldflt.sys驅動程式，這是Windows用於支援OneDrive檔案隨選（Files On-Demand） 等功能的核心組件。此驅動程式的職責是將雲端檔案以「佔位符」（placeholders）的形式同步至本機，並在使用者透過CfRegisterSyncRoot API存取時才進行實際下載。

漏洞的核心在於檢查時間與使用時間不一致（TOCTOU） 弱點，當使用者透過CfCreatePlaceholders函數請求在同步根目錄下建立佔位符時，驅動程式的HsmpOpCreatePlaceholders函數會執行一連串的操作。

駭客利用共享記憶體達成路徑劫持

在處理佔位符建立的過程中，驅動程式會先將使用者提供的相對檔案名稱緩衝區（relName）映射到核心空間，實現使用者與核心共享同一段實體記憶體。隨後，驅動程式會檢查relNam是否包含反斜線或冒號等禁用字元以進行安全檢查，接著才會呼叫FltCreateFileEx2實際建立檔案。

問題便出現在這個檢查與實際建立之間的極短暫的時間窗口，攻擊者首先需要在本機註冊一個同步根目錄並設定一個連接點（Junction Point），將指向系統的特權路徑，例如C:\Windows\System32。

隨後，攻擊執行緒會迅速修改共享記憶體中的檔案名稱緩衝區。例如，在驅動程式完成檔案名稱的安全檢查後，攻擊者將原本的字串中的字元替換為反斜線 \，從而將一個看似無害的路徑轉換為一個包含路徑分隔符的路徑。

由於驅動程式隨後呼叫建立檔案時，並未設置旗標來阻止符號連結（symlinks）的追蹤，這個被修改的路徑會跟隨預先設定的連接點，導致惡意DLL檔案被放置到C:\Windows\System32等受限的系統路徑中。

一旦惡意DLL成功植入，攻擊者便可利用Windows服務的DLL側載（DLL Side-loading） 漏洞，在核心上下文（Kernel Context）中執行惡意程式碼，達到最高的系統控制權限。

微軟強烈建議企業應立即進行修補，並審核OneDrive的使用情況，同時嚴格執行最低權限原則（least-privilege policies），以全面緩解此類本地權限提升威脅。

資料來源：Cyber Security News