Investigadores han descubierto y documentado la explotación activa de una vulnerabilidad de escalada de privilegios (CVE-2025-55680) en el controlador Cloud Files Mini Filter (cldsync.sys) de Windows. La falla es una condición de carrera (TOCTOU – Time-of-Check to Time-of-Use) que permite a un atacante local (cuenta de usuario no elevada) eludir protecciones de escritura y potencialmente crear archivos arbitrarios o ejecutar código con privilegios más altos en el sistema.
CVE-2025-55680: TOCTOU en el Filtro Cloud Files
La vulnerabilidad ataca la lógica de seguridad del componente que integra el almacenamiento en la nube con el sistema de archivos de Windows.
Mecanismo de Explotación
- Condición de carrera (TOCTOU): El fallo reside en la cadena de llamadas del mini-filtro de Cloud Files durante la creación de marcadores de posición (marcadores de archivos para archivos en la nube).
- Bypass de Verificación: Un atacante local puede aprovechar un tiempo preciso para cambiar la ruta del archivo entre el momento en que el controlador verifica la ruta (Time-of-Check) y el momento en que realmente la utiliza (Time-of-Use).
- Escalada: Al manipular esta ventana de tiempo, el atacante puede forzar al conductor a escribir o reemplazar archivos en ubicaciones sensibles y protegidas (ej., C:WindowsSystem32), facilitando así la escalada de privilegios o la persistencia en el sistema.
Gravedad y Alcance
- Clasificación Alta: El CVE está catalogado como Alta (CVSS$approx$7.x-7.8) y ha sido incluido en los avisos de Microsoft debido a los intentos de explotación reportados en entornos reales.
- Vector de Ataque: Afecta a cualquier sistema Windows (estaciones de trabajo y servidores) que utilice el componente Cloud Files para sincronización (OneDrive Files On-Demand, clientes HSM/backup, etc.).
- Riesgo: Requiere un atacante local pero no administrador, para reducir la barrera de entrada en entornos con VDI, desarrollo o terminales compartidos.
Recomendaciones
- Parcheo
- Aplicar parches de Microsoft: Aplique inmediatamente las actualizaciones y parches publicados por Microsoft que corrigen CVE-2025-55680 en todos los hosts que utilizan Cloud Files/servicios relacionados.
- Mitigaciones Temporales y Controles (Si el Parcheo se retrasa)
- Reducción de superficie: Evaluar la deshabilitación de las características de marcador de posición si la configuración del cliente de nube lo permite, y limitar el uso de clientes de sincronización en máquinas críticas.
- Control de Ejecución: Aplicar controles de bloqueo de ejecución (Application Control, WDAC, AppLocker) para cuentas de usuario normales, restringiendo la creación de archivos en rutas sensibles desde procesos no autorizados.
- Controles de Detección y Caza
- Detección TOCTOU: Añadir reglas de detección en SIEM/EDR para patrones TOCTOU (creación rápida$rightarrow$rebautizar$rightarrow$write por cuentas no privilegiadas) y para escrituras en rutas protegidas (System32) originadas por procesos inesperados.
- Auditoría: Revisar la telemetría de clientes Cloud Files: buscar eventos de creación de marcadores de posición y errores correlacionados con intentos de escritura en directorios del sistema desde cuentas no privilegiadas.
- Respuesta a Compromiso: Si se detectan indicios de explotación, aísle el host inmediatamente, capture memoria y realice un análisis forense para buscar persistencia antes de la reconexión.
