شناسه CVE-2025-48799 :CVE
CWE-59 :CWE
yes :Advisory
منتشر شده: جولای 8, 2025
به روز شده: آگوست 23, 2025
امتیاز: 7.8
نوع حمله: Unknown

اثر گذاری: Privilege Escalation
حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
برند: Microsoft
محصول: Windows Update Service
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در Windows Update Service (سرویس به‌روزرسانی ویندوز) به مهاجم لوکال با دسترسی محدود اجازه می‌دهد با سوءاستفاده از ضعف در رفع نادرست لینک‌ها پیش از دسترسی به فایل (Improper Link Resolution / Link Following) سطح دسترسی خود را تا سطح NT AUTHORITY\SYSTEM افزایش دهد. این ضعف امنیتی به‌ویژه در سیستم‌هایی با چندین هارد درایو و Storage Sense فعال قابل بهره‌برداری است. در صورت موفقیت حمله، مهاجم می‌تواند در سطح SYSTEM اقدام به ایجاد، ویرایش یا حذف فایل‌ها کرده و در نهایت کنترل کامل سیستم را به‌دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-48799 ناشی رفع نادرست لینک‌ها پیش از دسترسی به فایل در Windows Update Service است که مطابق با CWE-59 طبقه‌بندی می‌شود. این ضعف امنیتی به مهاجم لوکال با سطح دسترسی پایین اجازه می‌دهد، بدون نیاز به تعامل کاربر و با پیچیدگی پایین، لینک‌های نمادین مخرب (Symbolic Links) را دستکاری کرده و سطح دسترسی خود را به NT AUTHORITY\SYSTEM افزایش دهد.

این ضعف به طور خاص سیستم‌هایی با چندین هارد درایو (Multiple Hard Drives) را هدف قرار می‌دهد، جایی که مهاجم می‌تواند مکان ذخیره‌سازی محتوای جدید را با استفاده از Storage Sense (یک ویژگی خودکار پاکسازی فضای دیسک در ویندوز) به درایو ثانویه تغییر دهد؛ در زمان نصب اپلیکیشن جدید، سرویس عملیات حذف فولدر دلخواه را بدون بررسی کامل لینک‌های نمادین انجام می‌دهد و تنها مسیر نهایی را با GetFinalPathByHandle (تابعی برای دریافت مسیر نهایی هندل فایل) بررسی می‌کند که این امر منجر به افزایش سطح دسترسی لوکال می‌شود. پیامدهای آن شامل تاثیر بالا بر محرمانگی، یکپارچگی و در دسترس‌پذیری است.

کد اثبات مفهومی (PoC) به‌صورت عمومی در GitHub منتشر شده و نشان می‌دهد چگونه می‌توان با سوءاستفاده از عملیات حذف فایل یا فولدر توسط سرویس (با تکیه بر ساختار لینک‌های نمادین و تغییر مقصد ذخیره‌سازی) حمله را روی ویندوز 10/11 اجرا کرد؛ این PoC نیازمند حداقل دو درایو است و از روش‌هایی مشابه توضیحات بلاگ ZDI برای بهره‌برداری از حذف فایل‌های دلخواه استفاده می‌کند.

مایکروسافت پچ‌های امنیتی را در جولای 2025 منتشر کرده است. لذا اقدام قطعی نصب به‌روزرسانی‌های رسمی و راه‌اندازی مجدد سیستم است. تا زمان نصب پچ ها، اقدامات موقتی شامل غیرفعال‌سازی Storage Sense و ایمن سازی سیاست‌های ارزیابی لینک‌های نمادین (symbolic link policy hardening) با استفاده از تنظیمات رجیستری یا اسکریپت‌های معتبر توصیه می‌شود.

CVSS

Score	Severity	Version	Vector String
7.8	HIGH	3.1	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 10.0.17763.0 before 10.0.17763.7558	32-bit Systems, x64-based Systems	Windows 10 Version 1809
affected from 10.0.19044.0 before 10.0.19044.6093	32-bit Systems, ARM64-based Systems, x64-based Systems	Windows 10 Version 21H2
affected from 10.0.22621.0 before 10.0.22621.5624	ARM64-based Systems, x64-based Systems	Windows 11 version 22H2
affected from 10.0.19045.0 before 10.0.19045.6093	x64-based Systems, ARM64-based Systems, 32-bit Systems	Windows 10 Version 22H2
affected from 10.0.26100.0 before 10.0.26100.4652	x64-based Systems	Windows Server 2025 (Server Core installation)
affected from 10.0.22631.0 before 10.0.22631.5624	ARM64-based Systems	Windows 11 version 22H3
affected from 10.0.22631.0 before 10.0.22631.5624	x64-based Systems	Windows 11 Version 23H2
affected from 10.0.26100.0 before 10.0.26100.4652	ARM64-based Systems, x64-based Systems	Windows 11 Version 24H2
affected from 10.0.26100.0 before 10.0.26100.4652	x64-based Systems	Windows Server 2025
affected from 10.0.14393.0 before 10.0.14393.8246	32-bit Systems, x64-based Systems	Windows 10 Version 1607

لیست محصولات بروز شده

Versions	Platforms	Product
10.0.17763.7558	32-bit Systems, x64-based Systems	Windows 10 Version 1809
10.0.19044.6093	32-bit Systems, ARM64-based Systems, x64-based Systems	Windows 10 Version 21H2
10.0.22621.5624	ARM64-based Systems, x64-based Systems	Windows 11 version 22H2
10.0.19045.6093	x64-based Systems, ARM64-based Systems, 32-bit Systems	Windows 10 Version 22H2
10.0.26100.4652	x64-based Systems	Windows Server 2025 (Server Core installation)
10.0.22631.5624	ARM64-based Systems	Windows 11 version 22H3
10.0.22631.5624	x64-based Systems	Windows 11 Version 23H2
10.0.26100.4652	ARM64-based Systems, x64-based Systems	Windows 11 Version 24H2
10.0.26100.4652	x64-based Systems	Windows Server 2025
10.0.14393.8246	32-bit Systems, x64-based Systems	Windows 10 Version 1607

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Windows Update Serviceرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

Search Query (Dork)

Product

392

site:.ir “Windows Update Service”

Windows Update Service

نتیجه گیری

این آسیب‌پذیری با شدت بالا، تهدیدی جدی برای Windows Update Service با چندین هارد درایو محسوب می شود، زیرا مهاجم لوکال می تواند سطح دسترسی خود را تا SYSTEM افزایش دهد. با توجه به انتشار پچ امنیتی رسمی، اجرای فوری اقدامات زیر ضروری است:

به‌روزرسانی سیستم: فوراً تمامی به روزرسانی های امنیتی مایکروسافت را از طریق Windows Update یا KB articles نصب کرده و سیستم را مجددا راه اندازی(restart) نمایید.
غیرفعال کردن Storage Sense: به طور موقت Storage Sense را غیرفعال کنید تا از تغییر مسیر نصب اپلیکیشن ها به درایور ثانویه جلوگیری شود.
ایمن سازی سیاست لینک های نمادین (Symbolic Link Policy Hardening): تنظیمات رجیستری مرتبط با لینک های نمادین را اعمال و دسترسی لوکال و از راه دور را محدود کنید.
محدودسازی دسترسی و کنترل درایوها: از نصب نرم‌افزار روی چندین درایو جلوگیری کرده یا درایوهای ثانویه را محدود کنید؛ از ابزارهایی مانند AppLocker یا WDAC برای جلوگیری از اجرای symbolic link مخرب استفاده نمایید.
نظارت و تشخیص: اسکریپت‌های تشخیصی را اجرا کنید تا نسخه سیستم، تعداد درایوها، وضعیت Storage Sense و سیاست‌های symbolic link بررسی شوند؛ همچنین لاگ‌های wuauserv را برای فعالیت‌های مشکوک بررسی کنید.
آموزش و سیاست‌های دسترسی: کاربران را با ریسک‌های link following آشنا کرده و اصل حداقل سطح دسترسی (Least Privilege) را اعمال کنید.

اجرای این اقدامات، ریسک افزایش سطح دسترسی را به حداقل رسانده و تا زمان پچ کامل، امنیت سیستم‌های ویندوز را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Privilege Escalation (TA0004)
آسیب‌پذیری CVE-2025-48799 دقیقاً یک مسیر کلاسیکِ افزایش سطح دسترسی لوکال را پیاده‌سازی می‌کند. مهاجم با حق‌دسترسی محدود، از «رفع نادرست لینک‌ها / link following» و بهره‌برداری از رفتار حذف فولدر توسط Windows Update Service همراه با تغییر مقصد Storage Sense به درایو ثانویه استفاده کرده و با ایجاد یا تغییر symbolic linkها فرایند حذف/نوشتن سرویس را به مسیر دلخواه هدایت می‌کند تا نهایتاً کد یا فایل‌ها را تحت NT AUTHORITY\SYSTEM بنویسد یا پاک کند.

Defense Evasion (TA0005)
بهره‌برداری مبتنی بر symbolic link و GetFinalPathByHandle به مهاجم امکان می‌دهد عملیات سرویس را به مسیر‌های کم‌توجه یا درایو ثانویه هدایت کند و عملاً اقداماتش را از کنترل‌ها و اسکن‌های معمولی دور نگه دارد.

Execution (TA0002)
پس از کنترل مسیرهای فایل، مهاجم می‌تواند فایل‌های اجرایی یا سرویس‌پسند را تحت مالک SYSTEM قرار دهد یا فایل‌های بوت/اجرایی را دستکاری کند تا کد دلخواه در سطح SYSTEM اجرا شود

Persistence (TA0003)
در صورت موفقیت مهاجم ممکن است برای حفظ دسترسی SYSTEM از مکان‌های ثابت روی درایو ثانویه یا مکان‌هایی که معمولاً بررسی نمی‌شوند، backdoor یا سرویس‌های جدید ایجاد کند.

Lateral Movement (TA0008)
بعد از ارتقای محلی به SYSTEM، مهاجم می‌تواند اعتبار بالاتر را برای حرکت در شبکه محلی (مثلاً دسترسی به اشتراک‌های شبکه که با حساب‌های محلی/سیستمی مونت شده‌اند) یا اجرای دستورات از راه دور استفاده کند.

Impact (TA0040)
پیاده‌سازی موفق می‌تواند منجر به اثرات فاجعه‌بار شود: از دسترسی کامل به داده‌ها و حذف/رمزگذاری فایل‌ها تا نصب روت‌کیت و کنترل کامل سیستم؛ در محیط‌های سروری پیامدها به‌شدت بحرانی‌اند.

منابع

گزارش فنی اثبات آسیب‌پذیری CVE-2025-48799

اطلاعات آسیب‌پذیری

محصول آسیب‌پذیر: Windows (Windows Update Service)
عنوان: Improper link resolution before file access → Local Privilege Escalation
شناسه آسیب‌پذیری: CVE-2025-48799
شدت: High (LPE — Local Privilege Escalation)

سیستم‌ها و نسخه‌های متاثر (بازه‌های بیلد)

Windows 10 Version 21H2 — affected from 10.0.19044.0 before 10.0.19044.6093
Windows 10 Version 1809 — affected from 10.0.17763.0 before 10.0.17763.7558
Windows 11 version 22H2 — affected from 10.0.22621.0 before 10.0.22621.5624
Windows 10 Version 22H2 — affected from 10.0.19045.0 before 10.0.19045.6093
Windows Server 2025 (Server Core) — affected from 10.0.26100.0 before 10.0.26100.4652
Windows 11 version 22H3 — affected from 10.0.22631.0 before 10.0.22631.5624
Windows 11 Version 23H2 — affected from 10.0.22631.0 before 10.0.22631.5624
Windows 11 Version 24H2 — affected from 10.0.26100.0 before 10.0.26100.4652
Windows Server 2025 — affected from 10.0.26100.0 before 10.0.26100.4652
Windows 10 Version 1607 — affected from 10.0.14393.0 before 10.0.14393.8246

ریشه مشکل (خلاصه فنی)

Windows Update Service پیش از دسترسی به فایل‌ها، لینک/مسیرهای ارائه‌شده توسط کاربر را به‌درستی نرمالایز یا اعتبارسنجی نمی‌کند. از این ضعف می‌توان برای هدایت سرویس به مسیرهای قابل‌نوشتن توسط کاربر مثلاً درایو خارجی، junction/symlink سوء‌استفاده کرد و در نتیجه کد یا فایل‌هایی را با سطوح دسترسی بالاتر از سطح اولیه اجرا یا جایگذاری نمود که منجر به ارتقاء محلی امتیازات می‌شود. با این آسیب پذیری از یک حساب کاربری محلی کم‌امتیاز (standard user) امکان دستیابی به امتیازات بالاتر (SYSTEM / Admin) وجود دارد. برای بهره‌برداری نیاز به حداقل دو درایو (two hard drives) روی سیستم دارد — یعنی باید یک درایو ثانویه تنظیم شده باشد مثلاً از طریق Storage Sense تا مسیر نصب/حذف به آن درایو اشاره کند و ضعف «link-following» قابل سوءاستفاده شود

پیش‌نیازهای PoC / شرایط بهره‌برداری

دسترسی محلی (قابلیت اجرای برنامه/فایل توسط کاربر محلی).
وجود یکی از بیلدهای آسیب‌پذیر فهرست‌شده.
نیازی به دسترسی شبکه/از راه دور نیست؛ حمله محلی و بدون تعامل شبکه مستقیم انجام می‌شود.
سیستم باید اجازه ایجاد فایل /junction/symlink در محلی که سرویس Update آن را پردازش می‌کند را بدهد.
حداقل دو درایو (two hard drives) روی سیستم

اثبات مفهوم (PoC)

PoC: https://github.com/Wh04m1001/CVE-2025-48799

نمونه اجرای PoC فقط در لابراتوار

.\WinUpdateEoP.exe E:

اکسپلویت به‌صورت آزمایشی اشیاء فایل/reparse (junction/symlink) یا فایل‌های قابل‌نوشتن را در مسیرهای مورد پردازش سرویس ایجاد می‌کند و با مجبور کردن سرویس به استفاده از آن مسیرها، بارِ کاری مهاجم در کانتکست سرویس اجرا شده و منجر به اجرای کد با امتیاز SYSTEM می‌شود — به‌عبارت ساده، از کنترل مسیر برای بردن سرویس به محل دلخواه و اجرای payload سوءاستفاده می‌کند. نمونه اجرا با پارامتر درایو (E:) نشان می‌دهد که PoC می‌تواند مسیر مورد نظر را دستکاری کند و در محیط آزمایشگاهی منجر به اجرای کد در کانتکست بالاتر شود. هرگز PoC را روی سیستم‌های تولیدی یا بدون مجوز اجرا نکنید.

نتیجه مورد انتظار در حالت امن (Secure Expectation)

Windows Update Service باید قبل از هر گونه file operation مسیرها و لینک‌ها را canonicalize و validate کند.
هرگونه reparse/junction/symlink که مسیر را خارج از دایرکتوری‌های مجاز نشان دهد باید مسدود شود.
عملیات فایل حساس باید تحت حساب‌های محدود اجرا شوند یا از APIهای امنی استفاده شود که دسترسی را بررسی می‌کنند.

راهکارهای اصلاحی و کاهش ریسک (عملی و برحسب اولویت)

اقدام فوری Patch

نصب تمام به‌روزرسانی‌های امنیتی مایکروسافت که بیلدها را به نسخه‌های اصلاح‌شده ارتقا می‌دهد.
اگر از مدیریت بسته محلی استفاده می‌کنید و winget فعال است

winget upgrade –all

برای محیط‌های شرکتی، از WSUS / SCCM / Endpoint Manager جهت توزیع وصله استفاده کنید.

کنترل‌های موقتی در صورت عدم توان برای patch فوری

محدودسازی ایجاد junction/symlink و حقوق نوشتن کاربران محلی در پوشه‌های سیستم‌عامل و پوشه‌های مرتبط با Windows Update
اجرای AppLocker یا Windows Defender Application Control (WDAC) برای جلوگیری از اجرای باینری‌های ناشناخته.
جلوگیری از اجرای خودکار از درایوهای خارجی / مسیرهای غیر استاندارد.
مانیتور و جلوگیری از تغییرات ناگهانی در پوشه‌های مربوط به update/service

تقویت بلندمدت (Hardening)

پیاده‌سازی سیاست least privilege برای کاربران محلی.
محدود کردن دسترسی فیزیکی و مدیریت mount points
اجرای ممیزی مکرر برای یافتن reparse points و اشیاء فایل مشکوک.
مستندسازی و اتوماسیون Patch Management

تشخیص، پایش و شاخص‌های تهاجم (Detection & Monitoring)

پایش لاگ‌های EDR/Agent برای ایجادjunction/symlink ، توابع API مثل CreateSymbolicLink یا رفتارهای مشکوک DeviceIoControl
کشف اجرای باینری از درایوهای غیرمعمول (مثلاً E:\*.exe که پس از آن منجر به تغییر فایل‌های سیستمی می‌شوند.
تشخیص زنجیره پردازش که در آن یک پروسه کم‌امتیاز باعث تغییر فایل یا فراخوانی سرویس با امتیازات بالا می‌شود.
هشدار روی تغییرات مالکیت/مجوز فایل در دایرکتوری‌های سیستمی پس از فعالیت کاربر عادی.

پاسخ به حادثه (IR) — گام‌های کوتاه‌مدت و عملی

بلافاصله میزبان مشکوک را ایزوله کنید (قطع شبکه یا اعمال قوانین فایروال محلی).
جمع‌آوری شواهد: snapshot حافظه/دیسک، لاگ‌های ویندوز، Windows Update logs، فهرست reparse points، و فهرست پروسس‌ها.
شناسایی و حذف هر payload مشکوک و junction/symlink مخرب.
پس از تحلیل، اگر یکپارچگی سیستم قابل اطمینان نیست، پیشنهاد بازسازی از تصویر تمیز (reimage).
چرخش (rotate) هر credential/توکن که ممکن است در معرض قرار گرفته باشد.
Threat-hunt سراسری برای یافتن موارد مشابه با IoC هاش‌ها، نام فایل‌ها، الگوهای reparse

توصیه‌های عملیاتی برای سازمان (Operational Recommendations)

اولویت‌بندی Patch Management و برنامه‌ریزی فوریتی برای اعمال وصله‌ها.
اگر سرور یا کلاینت‌های آسیب‌پذیر در معرض اینترنت هستند: دسترسی عمومی را تا زمان وصله محدود کرده یا پشت VPN قرار دهید.
اجرای سیاست محدودیت اجرای باینری (AppLocker/WDAC) و محدودیت ایجاد junction/symlink برای کاربران عادی.
آموزش تیم‌های پشتیبانی و کاربران درباره ریسک اجرای باینری‌های ناشناس و قوانین mount drives.
تهیه playbook IR مخصوص LPE مراحل تشخیص، containment، eradication، recovery

جریان حمله

در شکل شماره 1 میتوان جریان حمله برای سوءاستفاده از این آسیب پذیری را مشاهده کرد.

شکل 1: جریان حمله

نتیجه اجرای PoC در محیط ایزوله آزمایشگاه

اجرای PoC مرتبط با CVE-2025-48799 در محیط آزمایشگاهی با موفقیت تأیید شد؛ شواهد تصویر 2 نشان می‌دهد که پس از اجرای WinUpdateEoP.exe E: فرآیند دستوری ارتقاء یافته و خروجی whoami مقدار NT AUTHORITY\SYSTEM را بازگردانده است که دال بر دستیابی موفق به امتیازات سطح System است.

شکل 2: اجرای POC

منابع (References)

CVE-2025-48799 – Improper link resolution → Local Privilege Escalation (Windows Update Service)

CVE ID: CVE-2025-48799
Severity: High (Local Privilege Escalation)

Affected Systems (build ranges):

Windows 10 Version 21H2 — affected from 10.0.19044.0 before 10.0.19044.6093
Windows 10 Version 1809 — affected from 10.0.17763.0 before 10.0.17763.7558
Windows 11 version 22H2 — affected from 10.0.22621.0 before 10.0.22621.5624
Windows 10 Version 22H2 — affected from 10.0.19045.0 before 10.0.19045.6093
Windows Server 2025 (Server Core installation) — affected from 10.0.26100.0 before 10.0.26100.4652
Windows 11 version 22H3 — affected from 10.0.22631.0 before 10.0.22631.5624
Windows 11 Version 23H2 — affected from 10.0.22631.0 before 10.0.22631.5624
Windows 11 Version 24H2 — affected from 10.0.26100.0 before 10.0.26100.4652
Windows Server 2025 — affected from 10.0.26100.0 before 10.0.26100.4652
Windows 10 Version 1607 — affected from 10.0.14393.0 before 10.0.14393.8246

Patched In: security updates delivered in Microsoft monthly/security patches that advance effected builds to the “before” build numbers listed above (i.e., fixed in builds …6093, …7558, …5624, …4652, …8246 respectively).
(Action: apply vendor updates — see Mitigation below.)

References:

PoC repository: https://github.com/Wh04m1001/CVE-2025-48799

Description

An improper link resolution vulnerability in Windows Update Service allows a local, authorized user to escalate privileges by abusing how Update Service resolves links before file access. A maliciously crafted executable or path can cause the service to operate on attacker-controlled locations, resulting in local privilege escalation (LPE) to higher-privileged contexts. Impact: full local takeover from lower-privileged accounts, persistence and lateral attack steps in compromised endpoints.

Prerequisites

Local access to the target machine (ability to run code as a non-privileged user).
The system must be running one of the affected Windows builds listed above.
No network-level access required — exploitation is performed locally.

Proof of Concept (PoC)

Lab-only PoC repo: https://github.com/Wh04m1001/CVE-2025-48799

Minimal reproduction steps (lab):

Place PoC executable on a writable volume accessible to attacker (example: E:).
Run the PoC with a target drive/path:

.\WinUpdateEoP.exe E:

Observe that the executable manipulates Windows Update Service link resolution to elevate privileges (lab evidence: new elevated process, altered file ownership, or dropped payloads in privileged locations).

DO NOT run this against production systems or systems you do not own/authorize — lab only.

Expected Result / Vulnerability Fix

Windows Update Service must normalize and validate client-supplied paths/links prior to performing file access or operations.
Any path resolution that could reference locations outside intended update directories (including symlinks, junctions, or encoded traversal) must be rejected.
File access should be performed under least-privilege contexts or via validated service APIs that enforce canonical path allowlisting.

Mitigation / Patch Guidance (Practical, prioritized)

Patch immediately (Top priority)
- Apply Microsoft security updates that move builds to the patched numbers listed above. In many environments the easiest command for administrators with winget enabled:
```
winget upgrade --all
```
- Or use WSUS / SCCM / Microsoft Update Catalog to deploy vendor-supplied security patches.
If you cannot patch immediately (Compensating controls)
- Restrict local user write permissions: ensure non-privileged users cannot create files/junctions/symlinks in locations consumed by Windows Update Service.
- Harden host configuration: disable unnecessary local accounts, remove developer/test tooling from endpoints, and block execution from removable media where feasible.
- Monitor and block creation of suspicious reparse points (junctions/symlinks) in system-update-related directories.
- Apply AppLocker or Windows Defender Application Control (WDAC) policies to prevent uncontrolled execution of unsigned binaries.
Longer-term hardening
- Enforce principle of least privilege for local users and service accounts.
- Inventory and restrict software that interacts with Windows Update internals.
- Regularly audit endpoint configurations for risky filesystem objects (reparse points, mounts).

Detection & Monitoring

Search endpoint telemetry and EDR logs for signs of exploitation patterns: creation of symlinks/reparse points or unusual file system redirects targeting Windows Update directories.
Look for execution of unknown binaries from non-standard volumes (e.g., E:\*.exe) that then trigger privileged behavior.
Monitor for unexpected changes in service configurations or files under Windows Update service folders.
Alert on process spawn chains where a low-privilege process causes elevated service behavior or writes to protected system locations.
Deploy host-based rules to detect CreateSymbolicLink, DeviceIoControl with unusual parameters, or suspicious use of icacls/takeown following local user actions.

Incident Response (if exploitation suspected)

Isolate the host from network and take an EDR snapshot.
Collect system and application logs, Windows Update logs, prefetch, and scheduled tasks.
Identify created/modified files, junctions/symlinks, and the parent process tree that led to privilege escalation.
Preserve forensic images and relevant artifacts.
Remediate: apply vendor patch, remove malicious artifacts, rebuild if integrity cannot be assured. Rotate any credentials or tokens that may have been exposed.
Post-incident: perform threat hunt across estate for same IoCs (file names, attacker binary hashes, unusual reparse point creations).

Disclaimer

This advisory is for defensive use only. Do not attempt to exploit systems without explicit authorization. Use provided PoC only in controlled lab environments. The author takes no responsibility for misuse.

CVE-2025-48799

Windows Update Service Elevation Of Privilege Vulnerability

CVE-2025-48799 – Improper link resolution → Local Privilege Escalation (Windows Update Service)

Description

Prerequisites

Proof of Concept (PoC)

Expected Result / Vulnerability Fix

Mitigation / Patch Guidance (Practical, prioritized)

Detection & Monitoring

Incident Response (if exploitation suspected)

Disclaimer

CVE-2025-59489

CVE-2025-10725

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ