Windows Kernel race-condition EoP 0-day (CVE-2025-62215)¶
Paylaşılan bir resource üzerindeki Windows Kernel race condition'ı bir double free'e yol açıyor; bu da low-privileged bir local user'ın SYSTEM'a yükselmesine izin veriyor. Kasım 2025'te patch'lendi ve in-the-wild exploit edildi.
Mechanism¶
Bug class / invariant
CVE-2025-62215, paylaşılan bir kernel resource üzerindeki bir race condition (CWE-362) olup bir double free (CWE-415)'e dejenere oluyor. İhlal edilen invariant, bir freed allocation'ın exclusive ownership'ı: iki thread aynı kernel object üzerinde proper synchronization olmadan çalıştığında, object'in reference/ownership state'i tutarsız bir şekilde gözlemlenebiliyor ve aynı memory block iki kez serbest bırakılıyor. Bir double free, attacker'a use-after-free tarzı bir koşul sağlar — block bir freelist'e geri döndüğünde attacker-controlled içerikle yeniden allocate edilebilir ve ikinci free (ya da stale pointer'ın sonraki bir kullanımı) artık attacker'ın kontrol ettiği bir memory üzerinde çalışır. Buradan itibaren standart kernel-corruption-to-SYSTEM yolu geçerlidir. NVD'ye göre: "Concurrent execution using shared resource with improper synchronization ('race condition') in Windows Kernel allows an authorized attacker to elevate privileges locally."
Walkthrough¶
Kavramsal anlatım; herkese açık NVD/MSRC advisory'sinden ve CISA KEV listesinden derlendi. Microsoft exploit internals'ı yayımlamıyor ve burada hiçbiri yeniden üretilmiyor.
-
Bir foothold elde et. CVSS vektörü
AV:L/AC:H/PR:L, attacker'ın halihazırda low-privileged bir local user olarak kod çalıştırdığı anlamına gelir; remote bir adım ya da user interaction (UI:N) söz konusu değildir. -
Concurrent access'i sürdür. Exploit, aynı kernel code path'ini tekrar tekrar tetikleyen birden fazla thread başlatır; böylece bunlardan ikisi paylaşılan resource'a örtüşen bir window içinde dokunur — yani "race".
AC:H, timing window'unun dar olduğunu ve attacker'ın kazanmak için döngüye girmesi gerektiğini yansıtır. -
Race'i kazan -> double free. Senkronizasyonu bozulmuş state, aynı allocation'ın iki kez free edilmesine neden olur ve yeniden kullanılabilir/dangling bir chunk'ı oyuna sokar.
-
Reclaim ve corrupt et. İki free arasında attacker, chunk'ı yeniden işgal etmek için controlled object'leri spray eder; böylece dangling reference artık attacker-shaped data'ya işaret eder — bu da double free'i kontrol edilebilir bir kernel write/UAF'a dönüştürür.
-
Yükselt. Bozulmuş state, bir arbitrary read/write için ve nihayetinde token theft veya başka bir SYSTEM-level ele geçirme için kullanılır.
Warning
Bu CVE, CISA'nın Known Exploited Vulnerabilities kataloğunda listelenmiş durumda (federal remediation son tarihi 2025-12-03), ki bu da aktif in-the-wild exploitation'ı doğruluyor.
Detection¶
- Patch-state monitoring: Kasım 2025 cumulative update'inin Windows 10 (1809/21H2/22H2), Windows 11 (22H2–25H2) ve Server 2019/2022/2025 genelinde kurulu olduğunu doğrula; internet'ten erişilebilir veya paylaşılan host'larda bunun eksikliği birincil risk göstergesidir.
- Behavioural EDR: low-privileged bir process'in tek bir syscall/IOCTL path'ini döven, sıkı döngüye giren çok sayıda thread başlatması ve hemen ardından
NT AUTHORITY\SYSTEMolarak çalışan bir child ya da token değişimi gelmesi, güçlü bir race-exploit sinyalidir. - Integrity-level jumps: integrity/token'ı meşru bir service path olmadan Medium/Low'dan System'a geçen bir process için alarm üret.
- Crash telemetry: race'i kaybeden double-free denemeleri genelde pool/UAF bugcheck'leri üretir; aynı parent process'ten gelen tekrarlı kernel crash'lerini kümele.
Mitigation¶
- Kasım 2025 Patch Tuesday update'ini uygula — kesin çözüm.
- Least privilege uygula; bug local code execution gerektirdiğinden, untrusted user/process'lerin neyi çalıştırabileceğini kısıtlamak attack surface'i küçültür.
- VBS/HVCI ve Credential Guard devreye al; böylece bir kernel-write primitive'ini credential theft'e çevirmek daha zor olur.
- Application control (WDAC/AppLocker) ve EDR kullanarak unprivileged loader/exploit binary'sini en baştan çalışmaktan engelle.
References¶
- NVD — CVE-2025-62215
- Microsoft Security Response Center — CVE-2025-62215
- CISA Known Exploited Vulnerabilities Catalog
- Fidelis Security — CVE-2025-62215 analysis