概要：Windows Cloud Minifilterの深刻な脆弱性

マイクロソフトのWindows Cloud Minifilterに、攻撃者が特権を昇格させ、システム上の任意の場所にファイルを生成できる深刻なセキュリティ脆弱性が発見されました。この脆弱性は、CVE-2025-55680として追跡されており、Exodus Intelligenceのセキュリティ研究者によって2024年3月に発見され、マイクロソフトは2025年10月にパッチを公開しました。

脆弱性の詳細：レースコンディションによるファイル作成

この脆弱性は、OneDriveのようなクラウドアプリケーションのファイルシステム機能を提供するWindows Cloud Minifilterドライバー（cldflt.sys）に存在します。具体的には、同期されたディレクトリ下にプレースホルダーファイルを作成する際のHsmpOpCreatePlaceholders()関数に欠陥があります。

プレースホルダーファイルは、ユーザーがアクセスした際にクラウドからコンテンツを自動的にダウンロードする特殊なファイルです。問題は、プレースホルダー作成時のファイル名検証が不適切であることに起因します。システムはファイル名にバックスラッシュやコロンのような禁止文字が含まれていないかを確認しますが、ファイル名が検証されてから実際にファイルが作成されるまでの間に時間差（レースコンディション）が存在します。

攻撃手法：Time-of-Check Time-of-Use (TOCTOU) 攻撃

攻撃者は、このTime-of-Check Time-of-Use (TOCTOU) 脆弱性を悪用し、複数のスレッドを同時に実行することで攻撃を仕掛けます。一部のスレッドが無害なファイル名でプレースホルダー作成を繰り返し要求する一方で、他のスレッドはファイル名バッファ内の文字を高速に変更します。タイミングが合えば、悪意のあるファイル名の変更が検証後かつファイル作成前に発生し、攻撃者はC:\Windows\System32のような保護されたシステムディレクトリにファイルを生成することが可能になります。

これにより、攻撃者は悪意のあるDLLファイルをシステムディレクトリに作成し、DLLサイドローディング技術を悪用してSYSTEM権限でコードを実行できます。この攻撃は、低いレベルの権限で開始できるため、複数のユーザーがアクセスするシステムにとって特に危険です。

• CVE ID: CVE-2025-55680
• 脆弱性タイプ: レースコンディション / Time-of-Check Time-of-Use (TOCTOU)
• 影響を受けるコンポーネント: Microsoft Windows Cloud Minifilter (cldflt.sys)
• CVSS 3.1 スコア: 7.8 (高)
• 影響: 特権昇格 – 任意のファイル作成によるSYSTEM権限の取得

対策と過去の関連性

この脆弱性は、以前の欠陥であるCVE-2020-17136に関連しています。CVE-2020-17136ではファイル名検証チェックがパッチで適用されましたが、その実装にレースコンディションの弱点が含まれており、今回のCVE-2025-55680につながりました。

システム管理者は、この脆弱性から保護するために、2025年10月のセキュリティ更新プログラムをWindowsシステムに適用することを強く推奨します。特に、クラウド同期サービスを利用しており、同期ルートディレクトリが設定されているシステムは、攻撃成功の前提条件となるため、パッチ適用を優先する必要があります。

元記事: https://gbhackers.com/microsoft-windows-cloud-minifilter-flaw/