CVE-2025-21420：Windows Disk清理工具漏洞被利用以获得系统特权，POC发布

微软已在 2025 年 2 月补丁星期二修复了 Windows 磁盘清理工具 (cleanmgr.exe) 中的一个漏洞。该漏洞编号为 CVE-2025-21420，可让攻击者在易受攻击的系统上获得系统权限。该漏洞的 CVSS 评分为 7.8，对 Windows 用户构成重大风险。

该漏洞已匿名披露给 Microsoft，随后，一名安全研究人员在 GitHub 上发布了概念验证漏洞。该漏洞利用了 cleanmgr.exe 的 DLL 侧载技术。本质上，研究人员演示了如何通过磁盘清理工具伪装和加载恶意 DLL，从而有效劫持其执行路径。

已发布的概念验证概述了以下步骤：

$ cp .dokan1.dll C:Users<username>System32System32System32dokannp1.dll$ cleanmgr /sageset:2

研究人员的笔记表明，攻击者使用了标准的 DLL 侧载技术。虽然他们仍在调查权限提升的确切机制，但他们建议，安排 cleanmgr.exe 在 NT AUTHORITYSYSTEM 帐户下运行或等待系统触发的执行（例如，由于磁盘空间不足或临时文件过多）可能是潜在的途径。

微软已在2025 年 2 月补丁星期二发布中修复了此漏洞。此补丁修复了 55 个安全漏洞，包括四个零日漏洞，其中两个漏洞正在被广泛利用。强烈建议用户立即应用此更新，以保护其系统免受潜在攻击。

该漏洞利用相对简单，再加上可能对系统造成危害，使得 CVE-2025-21420 成为严重威胁。尚未应用 2025 年 2 月补丁的用户应优先应用该补丁以降低风险。有关该补丁和其他已解决漏洞的更多详细信息，请访问Microsoft 安全响应中心网站。

原文始发于微信公众号（Ots安全）：CVE-2025-21420：Windows Disk清理工具漏洞被利用以获得系统特权，POC发布