Windows Admin Center (CVE-2025-64669): escalonamento local que impacta gateways

CVE-2025-64669 permite escalonamento a SYSTEM em Windows Admin Center via permissões graváveis em C:\ProgramData\WindowsAdminCenter. Cymulate demonstrou duas cadeias (uninstall de extensões e TOCTOU no updater). A Microsoft confirmou e lançou correção.

Pesquisadores da Cymulate e validação pela Microsoft mostram que uma configuração permissiva no diretório de dados do Windows Admin Center permite que usuários locais elevem-se a SYSTEM por duas cadeias de exploração independentes.

Descoberta e escopo / O que mudou agora

Cymulate reportou a falha a Microsoft em agosto de 2025; em 10 de dezembro a correção foi planejada para o Patch Tuesday e a Microsoft atribuiu CVE-2025-64669 com severidade Important. A falha afeta versões até 2.4.2.1 e instâncias identificadas como WAC 2411 e anteriores, pelo menos enquanto o diretório C:\ProgramData\WindowsAdminCenter permanecer gravável por contas não privilegiadas.

Vetor e exploração / Mitigações

Foram demonstradas duas cadeias de exploração confiáveis que exigem apenas acesso local de usuário padrão:

Abuso do mecanismo de desinstalação de extensões: o WAC procura e executa scripts PowerShell (PowerShel.ps1) em pastas de desinstalação sob o diretório de UI; se um usuário pode gravar ali um script assinado, este é executado em contexto privilegiado.
DLL hijacking no componente de atualização (WindowsAdminCenterUpdater.exe): uma condição TOCTOU permite copiar uma DLL maliciosa no momento em que o updater é criado, evitando a validação de assinatura feita no processo pai e levando execução em SYSTEM.

Mitigações imediatas: aplicar o update fornecido pela Microsoft, endurecer permissões em C:\ProgramData\WindowsAdminCenter, restringir contas com acesso local aos hosts de WAC e monitorar execuções de PowerShell e criação de arquivos nas pastas de Extensions/Updater.

Impacto e alcance / Setores afetados

Windows Admin Center é amplamente usado como console de gestão para Windows Server, clusters HCI e endpoints; ambientes que delegam tarefas administrativas a operadores com acesso local (ex.: DHCP, VMs, administração de atualizações) estão em risco. A facilidade de exploração (apenas conta local necessária) torna a vulnerabilidade relevante para provedores de serviços gerenciados, data centers e grandes redes corporativas.

Limites das informações / O que falta saber

O vetor exige acesso local ao host WAC — não há indícios de exploração remota direta do gateway pela falha em si. Também faltam evidências públicas de uso ativo em ataques direcionados; a publicação da validação da Cymulate sugere risco real em ambientes onde usuários não confiáveis possuem conta local em servidores WAC.

Repercussão / Próximos passos / Como responder

Organizações devem tratar WAC como infraestrutura crítica: aplicar a correção disponibilizada (Patch Tuesday), revisar controle de acesso local, auditar contas com acesso ao diretório C:\ProgramData\WindowsAdminCenter e executar cenários de validação (a Cymulate disponibilizou um módulo de Exposure Validation). EDR/SIEM devem ser afinados para detectar execuções AllSigned de PowerShell a partir das pastas de extensão e criação temporária de executáveis/DLLs no diretório Updater.

Resumo: falha de permissões em WAC permite duas cadeias de LPE confiáveis. A correção existe; atenção a hosts com contas locais não controladas.