一款存在两年的Windows本地提权漏洞在6月例行安全更新中完成修复。攻击者只需低权限账户就能借助系统输入服务拿到完整系统控制权,微软标记该漏洞已被公开披露。
周二发布的补丁包解决了一个编号为CVE-2026-45586的零日漏洞,位于Windows协作翻译框架中。该框架由CTFMON进程负责,持续运行在后台处理文本、语音和手写输入的数据流转。
漏洞根因属于CWE-59类别,即文件访问前链接解析不当。通俗讲,CTFMON在处理文件操作时未能正确校验路径中的符号链接或目录连接点,攻击者可以在用户可写路径下放置恶意链接,诱使高权限进程访问或执行攻击者指定的文件。
微软给出“重要”评级,CVSS v3.1综合评分7.8分。攻击向量显示为本地、低复杂度、仅需低权限且无需用户交互,一旦得手将严重影响目标系统的机密性、完整性和可用性。
CVSS评分拆解来看,7.8分在提权类漏洞中属于高风险区间。本地攻击向量意味着攻击者必须先在目标机器上获得代码执行能力,低权限要求则表明普通用户账户即可触发,无需管理员身份。这种特性使它成为攻击链中的关键一环——攻击者通过钓鱼邮件、恶意软件或窃取凭证拿到初始访问权限后,可利用该漏洞从受限用户环境直接跃升至系统最高权限。
微软在安全公告中确认,该漏洞在补丁发布前已被公开披露,按零日漏洞标准处理。公布时未发现野外利用案例,但微软可利用性指数将其评为“更可能被利用”。
多家安全厂商在Patch Tuesday分析中把CTFMON漏洞列为6月补丁包的关键零日之一。漏洞一旦被成功利用,攻击者可获得完整的SYSTEM权限,这对内网渗透和横向移动构成实质性威胁。
受影响范围覆盖当前仍在支持周期内的主流Windows版本。客户端系统包括Windows 10多个版本,从1607、1809到21H2、22H2;Windows 11涵盖23H2、24H2、25H2以及26H1版本,同时支持x64和ARM64架构。
服务器端同样覆盖面广。Windows Server 2012与2012 R2、Server 2016、2019、2022以及最新的2025版本均受影响,微软已为各平台发布独立补丁编号。
各版本的修复KB编号如下:Server 2012与2012 R2使用KB5094041和KB5094042;Windows 10 1607版与Server 2016对应KB5094122;Windows 10 1809版与Server 2019适用KB5094123;Server 2022的修复包为KB5094128;Windows 10 21H2/22H2版本统一使用KB5094127;Windows 11各版本及Server 2025变体则分别对应KB5093998、KB5094126、KB5095051和KB5094125。
微软在官方文档中将这些补丁列为确认修复方案,报告可信度标记为“已确认”。
从技术角度看,攻击手法利用了CTFMON文件处理流程中的链接跟随缺陷。CTFMON以SYSTEM权限运行,当它尝试访问用户目录下的文件时,攻击者预先在该路径放置符号链接或NTFS连接点,将文件操作重定向到受保护的目录。经过精心构造的链接链可以实现任意代码执行,且整个过程在后台静默完成,不会触发用户账户控制的弹窗提示。
安全研究人员指出,这类链接跟随漏洞在Windows系统中并非首次出现。文件系统重定向机制本身的复杂性为防护带来挑战——应用程序在处理文件路径时需要额外校验链接目标是否合法,而实际开发中这一步骤常被忽略或实现不完整。
对于企业安全团队,紧急部署6月补丁是当前最有效的缓解措施。同时建议审查终端上的权限分配,限制低权限用户在系统敏感目录创建符号链接的能力。启用攻击面减少规则中针对“阻止从Windows本地安全认证子系统服务窃取凭证”的选项,也能在一定程度上阻断利用链路。
热门跟贴