前言
朋友们,我是字节曜的编辑寒烟似雪。咱平时用来管理服务器、维护电脑的Windows Admin Center(WAC),最近藏了个大隐患!微软刚确认的CVE-2025-64669漏洞,居然能让低权限用户“一步登天”——不用复杂操作,只要在有WAC的电脑上有点基础访问权,就能蹭到SYSTEM最高权限,偷数据、植后门都不在话下。这漏洞影响2.4.2.1及更早版本,不少企业的服务器、办公电脑还在裸奔,看完你肯定得赶紧去查自家设备!
一、漏洞根源:一个“权限配置”的坑,成了黑客突破口
说起来这漏洞特“低级”但特致命——问题出在WAC的一个关键目录C:\ProgramData\WindowsAdminCenter上。按常理,这种管理工具的核心目录,应该只有管理员能改,但微软偏偏没设好权限,普通用户也能往里面写文件。
更糟的是,这个目录里跑的组件、进程,全是NETWORK SERVICE甚至SYSTEM级别的高权限!就像给了小偷一把能开银行金库的钥匙,还告诉人家“金库门没锁”——低权限用户往这目录里塞点恶意东西,高权限进程一执行,直接就能“借权”拿到系统最高控制权。
二、拆解攻击流程:两种简单操作,普通用户也能玩明白
安全研究员已经测出两条实实在在的攻击路径,全程不用写复杂代码,甚至连编程基础都不用有,普通人照着步骤来就能搞事,这才是最吓人的:
1. 蹭“扩展卸载”漏洞:塞个脚本就能提权
WAC有个扩展功能(比如装个监控插件、备份工具),卸载扩展时会干一件事:在C:\ProgramData\WindowsAdminCenter\Extensions目录下找“uninstall”文件夹,把里面所有PowerShell脚本(.ps1)拿出来,用高权限跑一遍。
黑客就钻了这个空子:
- 先在自己的低权限账号下,往这个“uninstall”文件夹里塞一个带签名的恶意脚本(网上能找到合法签名工具,甚至伪造签名也能蒙混);
- 然后随便找个理由触发扩展卸载——比如假装“插件用不了,卸载重装”,或者直接调用WAC的API触发卸载;
- 等WAC的高权限进程执行到这个恶意脚本,瞬间就能拿到SYSTEM权限。之前有测试的,脚本里写个“把管理员密码存到C盘根目录”,执行完真就能拿到密码!
2. 蹭“更新程序”漏洞:钻时间差换恶意DLL
WAC的更新程序WindowsAdminCenterUpdater.exe也有毛病——它会从C:\ProgramData\WindowsAdminCenter\Updater目录里加载DLL文件(系统运行需要的小模块)。虽然微软要求DLL必须签名,但研究员发现了个“检查时间差”(TOCTOU)的漏洞:
- 第一步:WAC主进程先检查这个目录里的DLL,确认签名没问题;
- 第二步:等更新程序真正要加载DLL时,中间有个几毫秒的空窗期;
- 黑客就盯着这个空窗期,用工具实时监控——一旦发现更新程序要启动,立马把原来的合法DLL换成自己的恶意DLL;
- 等更新程序加载时,已经换成恶意DLL了,但签名检查早就做过了,直接就用高权限跑起来。
测试时,研究员就用这招,让恶意DLL在SYSTEM权限下创建了一个隐藏管理员账号,全程没弹任何警告,任务管理器里都看不到异常。
三、这漏洞为啥危险?企业、个人都躲不开
别觉得这只是“企业IT该操心的事”,现在不少个人用户也用WAC管理自己的Windows 11电脑(比如装个WAC远程管理家里的NAS、备用机),一旦中招,后果一样严重:
1. 企业:低权限员工能掀翻整个内网
比如公司里的实习生、前台,本来只能用自己的普通账号办公,要是利用这漏洞提权:
- 能删服务器日志,掩盖自己偷数据的痕迹;
- 能给OA系统、客户数据库植后门,让黑客远程控制;
- 甚至能篡改财务软件的数据,把转账账号换成自己的——之前某小公司就差点中招,IT助理用这漏洞改了报销系统的收款账号,还好财务对账时发现了。
2. 个人:电脑里的隐私全暴露
个人用户用WAC管理电脑的话,要是被别人拿到低权限账号(比如借电脑给朋友用):
- 能偷你浏览器里的密码、历史记录
要留清白在人间哦; - 能装远程控制软件,就算你拿回电脑,对方也能实时监控你干啥;
- 更狠的是植勒索软件,把你硬盘加密,要完赎金才解密。
而且这漏洞还特别难检测——所有操作都是借着WAC的合法进程跑的,杀毒软件看了都觉得“这是正常程序在干活”,不会报毒。
四、紧急防护建议:3步就能堵上漏洞,别等中招才动手
微软已经在2025年12月的“补丁星期二”更新里修复了这个漏洞,现在做防护其实很简单,关键是“别拖延”:
1. 第一步:立马更WAC到最新版
不管是企业服务器还是个人电脑,打开WAC后看右上角的版本号,只要低于2.4.2.2,赶紧更:
- 企业用户:通过组策略批量推送更新,或者去微软官网下载离线补丁(https://learn.microsoft.com/zh-cn/windows-server/manage/windows-admin-center/overview);
- 个人用户:直接点WAC里的“设置-更新”,自动下载安装,5分钟就能搞定。
2. 第二步:手动锁死危险目录权限
要是暂时没法更(比如企业服务器要等审批),先手动改目录权限应急:
- 找到
C:\ProgramData\WindowsAdminCenter目录,右键“属性-安全”; - 把“Users”(普通用户组)的权限改成“只读”,彻底禁止普通用户往里面写文件;
- 再检查子目录“Extensions”“Updater”,权限也照这个改,相当于先把“小偷能塞东西的门”焊死。
3. 第三步:监控异常操作
- 企业用户:用EDR(终端防护软件)监控这两个目录的文件变动,一旦发现普通用户往里面写.ps1脚本、.dll文件,立马报警;
- 个人用户:打开“事件查看器”,看“Windows日志-安全”,如果有“低权限用户执行高权限进程”的记录(比如事件ID 4688里,普通账号启动了
powershell.exe且权限是SYSTEM),赶紧查电脑有没有被植入恶意文件。
结语:管理工具别当“免死金牌”,及时更新才是王道
这次的漏洞给所有人提了个醒:平时用来“保安全”的管理工具,自己也可能出安全问题。Windows Admin Center这种大家觉得“官方出品、肯定安全”的软件,照样会有权限配置的低级错误。
不管是企业IT还是个人用户,现在就去查WAC版本,能更就立马更,暂时不能更就锁权限——别等黑客先用上这漏洞,到时候丢了数据、被勒索,哭都来不及!
