Skip to content

Windows Kernel race-condition EoP 0-day (CVE-2025-62215)

Paylaşılan bir resource üzerindeki Windows Kernel race condition'ı bir double free'e yol açıyor; bu da low-privileged bir local user'ın SYSTEM'a yükselmesine izin veriyor. Kasım 2025'te patch'lendi ve in-the-wild exploit edildi.

Mechanism

Bug class / invariant

CVE-2025-62215, paylaşılan bir kernel resource üzerindeki bir race condition (CWE-362) olup bir double free (CWE-415)'e dejenere oluyor. İhlal edilen invariant, bir freed allocation'ın exclusive ownership'ı: iki thread aynı kernel object üzerinde proper synchronization olmadan çalıştığında, object'in reference/ownership state'i tutarsız bir şekilde gözlemlenebiliyor ve aynı memory block iki kez serbest bırakılıyor. Bir double free, attacker'a use-after-free tarzı bir koşul sağlar — block bir freelist'e geri döndüğünde attacker-controlled içerikle yeniden allocate edilebilir ve ikinci free (ya da stale pointer'ın sonraki bir kullanımı) artık attacker'ın kontrol ettiği bir memory üzerinde çalışır. Buradan itibaren standart kernel-corruption-to-SYSTEM yolu geçerlidir. NVD'ye göre: "Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Kernel allows an authorized attacker to elevate privileges locally."

Walkthrough

Kavramsal anlatım; herkese açık NVD/MSRC advisory'sinden ve CISA KEV listesinden derlendi. Microsoft exploit internals'ı yayımlamıyor ve burada hiçbiri yeniden üretilmiyor.

  1. Bir foothold elde et. CVSS vektörü AV:L/AC:H/PR:L, attacker'ın halihazırda low-privileged bir local user olarak kod çalıştırdığı anlamına gelir; remote bir adım ya da user interaction (UI:N) söz konusu değildir.

  2. Concurrent access'i sürdür. Exploit, aynı kernel code path'ini tekrar tekrar tetikleyen birden fazla thread başlatır; böylece bunlardan ikisi paylaşılan resource'a örtüşen bir window içinde dokunur — yani "race". AC:H, timing window'unun dar olduğunu ve attacker'ın kazanmak için döngüye girmesi gerektiğini yansıtır.

    Conceptual race shape
    Thread A:  reference object  ----+
                                      (overlap window)
    Thread B:  reference object  ----+----> both proceed to free
    result:    object freed twice  -> dangling/reusable allocation
    
  3. Race'i kazan -> double free. Senkronizasyonu bozulmuş state, aynı allocation'ın iki kez free edilmesine neden olur ve yeniden kullanılabilir/dangling bir chunk'ı oyuna sokar.

  4. Reclaim ve corrupt et. İki free arasında attacker, chunk'ı yeniden işgal etmek için controlled object'leri spray eder; böylece dangling reference artık attacker-shaped data'ya işaret eder — bu da double free'i kontrol edilebilir bir kernel write/UAF'a dönüştürür.

  5. Yükselt. Bozulmuş state, bir arbitrary read/write için ve nihayetinde token theft veya başka bir SYSTEM-level ele geçirme için kullanılır.

Warning

Bu CVE, CISA'nın Known Exploited Vulnerabilities kataloğunda listelenmiş durumda (federal remediation son tarihi 2025-12-03), ki bu da aktif in-the-wild exploitation'ı doğruluyor.

Detection

  • Patch-state monitoring: Kasım 2025 cumulative update'inin Windows 10 (1809/21H2/22H2), Windows 11 (22H2–25H2) ve Server 2019/2022/2025 genelinde kurulu olduğunu doğrula; internet'ten erişilebilir veya paylaşılan host'larda bunun eksikliği birincil risk göstergesidir.
  • Behavioural EDR: low-privileged bir process'in tek bir syscall/IOCTL path'ini döven, sıkı döngüye giren çok sayıda thread başlatması ve hemen ardından NT AUTHORITY\SYSTEM olarak çalışan bir child ya da token değişimi gelmesi, güçlü bir race-exploit sinyalidir.
  • Integrity-level jumps: integrity/token'ı meşru bir service path olmadan Medium/Low'dan System'a geçen bir process için alarm üret.
  • Crash telemetry: race'i kaybeden double-free denemeleri genelde pool/UAF bugcheck'leri üretir; aynı parent process'ten gelen tekrarlı kernel crash'lerini kümele.

Mitigation

  • Kasım 2025 Patch Tuesday update'ini uygula — kesin çözüm.
  • Least privilege uygula; bug local code execution gerektirdiğinden, untrusted user/process'lerin neyi çalıştırabileceğini kısıtlamak attack surface'i küçültür.
  • VBS/HVCI ve Credential Guard devreye al; böylece bir kernel-write primitive'ini credential theft'e çevirmek daha zor olur.
  • Application control (WDAC/AppLocker) ve EDR kullanarak unprivileged loader/exploit binary'sini en baştan çalışmaktan engelle.

References

See also