概要：Windows Cloud Minifilterの重大な脆弱性が修正

Microsoft Windows Cloud Minifilterに存在する重大なセキュリティ脆弱性が修正されました。この脆弱性は、攻撃者が特権を昇格させ、システム上の任意の場所にファイルを生成することを可能にするレースコンディションに起因します。CVE-2025-55680として追跡されているこの脆弱性は、Exodus Intelligenceのセキュリティ研究者によって2024年3月に発見され、Microsoftは2025年10月にパッチを適用しました。

レースコンディションによるシステムワイドなファイル作成

この脆弱性は、OneDriveのようなクラウドアプリケーションにファイルシステム機能を提供するWindows Cloud Minifilterドライバー（cldflt.sys）に存在します。問題は、同期されたディレクトリの下にプレースホルダーファイルを作成するリクエストを処理する際のHsmpOpCreatePlaceholders()関数で発生します。

• CVE ID: CVE-2025-55680
• 脆弱性タイプ: レースコンディション / Time-of-Check Time-of-Use (TOCTOU)
• 影響を受けるコンポーネント: Microsoft Windows Cloud Minifilter (cldflt.sys)
• CVSS 3.1 スコア: 7.8 (高)
• 影響: 特権昇格 – 任意のファイル作成によるSYSTEM権限の取得

プレースホルダーファイルは、ユーザーがアクセスした際にクラウドからコンテンツを自動的にダウンロードするクラウド同期サービスで使用される特殊なファイルです。セキュリティ上の問題は、プレースホルダー作成時のファイル名の不適切な検証にあります。ユーザーがプレースホルダーファイルの作成を要求すると、システムはファイル名にバックスラッシュやコロンなどの禁止文字が含まれていないかを確認します。しかし、研究者たちは、ファイル名が検証されてから実際にファイルが作成されるまでの間に時間差（タイムウィンドウ）があることを発見しました。

Time-of-Check Time-of-Useの悪用

攻撃者は、複数のスレッドを同時に実行することで、このTime-of-Check Time-of-Use（TOCTOU）脆弱性を悪用できます。一部のスレッドが無害に見えるファイル名でプレースホルダー作成を繰り返し要求する一方で、他のスレッドはファイル名バッファ内の文字を迅速に変更します。タイミングが適切であれば、悪意のあるファイル名の変更は検証後、ファイル作成前に発生し、攻撃者はC:\Windows\System32のような保護されたシステムディレクトリにファイルを生成できるようになります。

システムディレクトリに悪意のあるDLLファイルを生成することで、攻撃者はDLLサイドローディング技術を利用して、SYSTEM権限でコードを実行できます。この攻撃は、開始するために低レベルの特権しか必要としないため、複数のユーザーがアクセスするシステムにとって特に危険です。

この脆弱性は、Cloud Files MinifilterドライバーのCfCreatePlaceholders() API関数の処理に関連しています。この関数は、クラウド同期プロバイダーがクラウドに保存されたコンテンツを表すプレースホルダーファイルを作成するために使用されます。ドライバーは、I/O制御コード0x903BCと特定のパラメータを介してこれらのリクエストを処理し、プレースホルダー作成操作を示します。セキュリティ研究者は、この脆弱性が以前の欠陥であるCVE-2020-17136に関連していると指摘しています。CVE-2020-17136はファイル名検証チェックでパッチが適用されましたが、その実装にはCVE-2025-55680を可能にするレースコンディションの弱点が含まれていました。

対策と推奨事項

システム管理者は、悪用から保護するために、Windowsシステムが2025年10月のセキュリティアップデートを受け取っていることを確認する必要があります。クラウド同期サービスを使用している組織は、同期ルートディレクトリが構成されているシステムにパッチを適用することを優先すべきです。これは、攻撃が成功するための前提条件となるためです。

元記事: https://gbhackers.com/microsoft-windows-cloud-minifilter-flaw/