CVE-2025-60710 - Élévation de Privilèges dans le Processus Hôte pour les Tâches Windows

Analyse Technique

Le cœur de cette vulnérabilité réside dans une Résolution incorrecte des liens avant l’accès aux fichiers, documentée sous CWE-59. La faille se situe dans l’interaction entre le Processus Hôte pour les Tâches Windows (taskhostw.exe) et la fonctionnalité Windows AI Recall.

Plus précisément, la tâche planifiée \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration effectue des opérations de fichiers sur un répertoire cible sans vérifier suffisamment si le chemin est un lien symbolique ou un point de jonction. Ce comportement de “suivi de lien” (link following) permet à un attaquant de rediriger une opération de fichier exécutée en SYSTEM vers une cible sensible.

Composants Vulnérables

Processus : taskhostw.exe
Fonctionnalité : Windows AI Recall
Builds Affectés : Windows 11 25H2 (entre 10.0.26200.0 et 10.0.26200.7171)

Flux d’Exploitation

L’exploitation suit une séquence précise pour parvenir à une suppression arbitraire de dossiers et à une élévation de privilèges :

Vérification de l’Environnement : L’attaquant vérifie la version du build de l’OS pour s’assurer qu’elle se situe dans la plage vulnérable.
Création de Jonction : L’attaquant crée une jonction de répertoire dans le dossier %LOCALAPPDATA%\CoreAIPlatform.00\UKP.
Ciblage : La jonction est configurée pour pointer vers un répertoire système protégé ou un fichier de configuration critique.
Déclenchement : La tâche planifiée PolicyConfiguration est déclenchée, forçant taskhostw.exe à suivre le lien.
Gain de Privilèges : Comme la tâche s’exécute en SYSTEM, l’opération liée est effectuée avec les privilèges les plus élevés, permettant la suppression ou la modification de fichiers restreints.

Investigation Forensique

D’un point de vue forensique, les traces suivantes sont critiques pour identifier une tentative d’exploitation de la CVE-2025-60710.

Artefacts du Système de Fichiers

Analyse des Chemins : Investigation du chemin %LOCALAPPDATA%\CoreAIPlatform.00\UKP. La présence de sous-répertoires nommés par des GUID identifiés comme des Points de Reparse (jonctions ou symlinks) est un Indicateur de Compromission (IoC) fort.
Suivi de Liens : Recherche de jonctions de répertoires inattendues pointant vers C:\Windows\System32 ou d’autres chemins système sensibles.

Analyse des Logs

Exécution de Processus : Surveiller taskhostw.exe démarrant avec des arguments inhabituels ou interagissant avec le répertoire CoreAIPlatform.
Event IDs :
- Event ID 4688 : Création de processus. Rechercher taskhostw.exe interagissant avec le chemin UKP.
- Event ID 4663 : Tentative d’accès à un objet. Vérifier les accès de niveau SYSTEM aux chemins de profil utilisateur.

Détection

La détection de cette vulnérabilité nécessite une combinaison de vérification du build et d’analyse du système de fichiers.

Logique de Détection

Vérification du Build : Confirmer que le build de l’OS est compris entre 10.0.26200.0 et 10.0.26200.7171.
Audit des Tâches : Vérifier l’existence et l’état de la tâche \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration.
Scan des Reparse Points : Scanner le répertoire UKP pour tout symlink ou jonction.

Requête de Threat Hunting (KQL/Splunk)

index=windows event_id=4688 process_name="taskhostw.exe"
| search "CoreAIPlatform.00\UKP"

Mitigations

Une action immédiate est requise pour sécuriser les systèmes vulnérables.

Correctif Officiel: Appliquer les dernières mises à jour de sécurité Microsoft pour Windows 11 25H2.
Contournement Temporaire: Désactiver la tâche planifiée suivante : \Microsoft\Windows\WindowsAI\Recall\PolicyConfiguration.
Durcissement: Restreindre les permissions d’écriture sur %LOCALAPPDATA%\CoreAIPlatform.00\UKP pour empêcher la création de nouvelles jonctions.