Windows磁盘清理工具漏洞被利用获取系统权限，PoC已公开（CVE-2025-21420）

微软在 2025 年 2 月的 “周二补丁日” 中，修复了 Windows 磁盘清理工具（cleanmgr.exe）存在的一个漏洞。该漏洞编号为 CVE-2025-21420，攻击者可利用此漏洞在存在漏洞的系统上获取 SYSTEM 权限。这个漏洞的通用漏洞评分系统（CVSS）评分为 7.8，给 Windows 用户带来了重大风险。

该漏洞被匿名报告给微软，随后，一名安全研究人员在 GitHub 上发布了概念验证漏洞利用代码。该漏洞利用借助磁盘清理工具 cleanmgr.exe 实施 DLL 劫持技术。从本质上来说，研究人员展示了如何伪装恶意 DLL，并让磁盘清理工具加载它，从而有效地劫持其执行路径。

已发布的概念验证概述了以下步骤：

$ cp .dokan1.dll C:Users<username>System32System32System32dokannp1.dll$ cleanmgr /sageset:2

研究人员的记录表明，使用的是标准的 DLL 劫持技术。虽然他们仍在研究权限提升的具体机制，但他们指出，安排 cleanmgr.exe 在 NT AUTHORITYSYSTEM 账户下运行，或者等待系统触发执行（例如，由于磁盘空间不足或临时文件过多）可能是潜在的攻击途径。

微软在 2025 年 2 月 “周二补丁日” 的更新中修复了这个漏洞。此补丁修复了 55 个安全漏洞，其中包括 4 个零日漏洞，其中有两个正在被黑客在实际环境中利用。强烈建议用户立即应用此更新，以保护他们的系统免受潜在攻击。

该漏洞利用方法相对简单，再加上存在系统级被攻破的可能性，使得 CVE-2025-21420 成为一个严重威胁。尚未应用 2025 年 2 月补丁的用户应优先进行更新，以降低风险。有关该补丁以及其他已修复漏洞的更多详细信息，可在微软安全响应中心网站上查看。