近日，微软Windows系统曝出高危本地提权漏洞CVE-2025-21204，攻击者可利用该漏洞通过简单的符号链接攻击，在未经授权的情况下直接获取系统最高权限（SYSTEM权限），威胁用户数据安全甚至控制整个操作系统。以下是漏洞详情与防护指南：

一、漏洞核心危害：低门槛提权，后果严重

攻击原理

漏洞存在于Windows更新组件（如MoUsoCoreWorker.exe和UsoClient.exe）中。由于系统默认信任C:\ProgramData\Microsoft\UpdateStack\Tasks路径，攻击者可通过创建符号链接（Junction），将该路径重定向到用户可控目录，并植入恶意脚本。当系统执行更新任务时，SYSTEM权限进程会加载恶意文件，导致攻击者完全控制系统。

攻击门槛极低

攻击者仅需普通用户权限即可完成漏洞利用，无需复杂技术或物理接触设备。通过触发Windows更新任务（如计划扫描），即可在30秒内实现提权。

潜在风险

窃取敏感数据（如密码、加密证书）

安装隐蔽后门或勒索软件

篡改系统配置，破坏稳定性

二、影响范围：覆盖主流Windows版本

受影响系统：Windows 10（21H2及以上）、Windows 11（所有版本）、Windows Server 2022

修复状态：微软已于2025年4月发布补丁（KB5055518/KB5055523等），但仍有大量用户未更新  。

三、紧急防护措施：三步阻断攻击链

1. 立即更新系统补丁

打开Windows设置，进入“更新与安全”，手动安装2025年4月累积更新（搜索KB5055518或KB5055523）。

注意：切勿删除系统inetpub文件夹，否则可能导致补丁失效。

2. 监控异常行为

启用企业级EDR/XDR工具，重点关注clfs.sys进程和UpdateStack目录的异常操作 。

普通用户可通过任务管理器观察MoUsoCoreWorker.exe和UsoClient.exe的异常启动频率。

3. 最小权限原则

限制普通用户的本地管理员权限，避免攻击者轻易植入恶意文件。

定期审计系统目录权限设置，确保关键路径（如ProgramData）不被非授权用户写入。

信息化管理处

2025年4月23日