CVE-2025-64669

Nome do Software Vulnerável e Versões Afetadas Versões do Windows Admin Center anteriores a 2.4.2.1 Versões do Windows Admin Center anteriores a 2411

Descrição Existe um problema de controle de acesso inadequado no Windows Admin Center. Isso permite que um atacante autorizado eleve privilégios localmente, potencialmente obtendo acesso ao nível de SYSTEM. O problema origina-se de permissões de diretório inseguras, especificamente um diretório C:ProgramDataWindowsAdminCenter com permissão de escrita, utilizado por serviços de alto privilégio. Dois vetores de exploração principais foram identificados: abuso do mecanismo de desinstalação de extensão através da substituição de script PowerShell assinado no diretório C:ProgramDataWindowsAdminCenterExtensionsuninstall, e um ataque Time-of-Check-to-Time-of-Use (TOCTOU) envolvendo sequestro de DLL no diretório C:ProgramDataWindowsAdminCenterUpdater via monitoramento de eventos do Windows Management Instrumentation (WMI) do processo WindowsAdminCenterUpdater.exe, visando especificamente o endpoint /api/update.

Recomendações Atualize o Windows Admin Center para uma versão superior a 2.4.2.1. Atualize o Windows Admin Center para a versão 2411 ou posterior. Como medida adicional, ou se a atualização não for possível, modifique a Lista de Controle de Acesso (ACL) em C:ProgramDataWindowsAdminCenter para negar acesso de escrita para usuários comuns. Restrinja o acesso às subpastas Extensions e Updater apenas para SYSTEM e administradores. Como solução temporária, considere desabilitar a funcionalidade de desinstalação de extensão até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao endpoint /api/update até que uma correção esteja disponível.