# CVE-2025-62221 > [!high] CVSS 7.8 - Windows Cloud Files Mini Filter Driver LPE > Vulnerabilidade Use-After-Free no driver de filtro miniatura do Windows Cloud Files permite que um atacante autenticado com privilégios locais baixos eleve seus privilégios para SYSTEM, comprometendo completamente o sistema operacional. ## Visão Geral CVE-2025-62221 é uma vulnerabilidade de elevação de privilégios (LPE - Local Privilege Escalation) no componente **Cloud Files Mini Filter Driver** do Windows, com CVSS 7.8 (HIGH). A falha é do tipo **Use-After-Free** (CWE-416): o driver libera uma região de memória mas continua referênciando o ponteiro liberado, permitindo que um atacante com acesso local básico acione condição de corrida e execute código arbitrário no contexto SYSTEM. O componente vulnerável, `cldflt.sys`, é o driver de filtro responsável por gerenciar arquivos sincronizados via OneDrive e outros provedores de Cloud Files no Windows. Este driver está presente e ativo por padrão em todas as instalações modernas do Windows 10, 11 e Windows Server. A ampla superfície de ataque torna esta vulnerabilidade especialmente relevante para cenários pós-exploração, onde um atacante já comprometeu uma conta de baixo privilégio e busca escalar para administrador ou SYSTEM. No contexto de campanhas APT e ransomware, falhas LPE no kernel Windows são frequentemente encadeadas com vulnerabilidades de execução remota de código (RCE) ou com técnicas de acesso inicial via phishing. A confirmação de exploração ativa no CISA KEV eleva a urgência de aplicação do patch em ambientes corporativos Windows, incluindo organizações brasileiras que operam infraestrutura Windows Server exposta ou com múltiplos usuários de menor privilégio. ## Produtos Afetados | Produto | Versão Vulnerável | Build Corrigido | |---------|------------------|----------------| | Windows 10 1809 (x64/x86) | < 10.0.17763.8146 | 10.0.17763.8146+ | | Windows 10 21H2 | < 10.0.19044.6691 | 10.0.19044.6691+ | | Windows 10 22H2 | < 10.0.19045.6691 | 10.0.19045.6691+ | | Windows 11 23H2 | < 10.0.22631.6345 | 10.0.22631.6345+ | | Windows 11 24H2 | < 10.0.26100.7392 | 10.0.26100.7392+ | | Windows Server 2019 | < 10.0.17763.8146 | 10.0.17763.8146+ | | Windows Server 2022 | < 10.0.20348.4467 | 10.0.20348.4467+ | | Windows Server 2025 | < 10.0.26100.7392 | 10.0.26100.7392+ | ## Análise Técnica A vulnerabilidade está no driver `cldflt.sys` (Cloud Files Mini Filter Driver), classificada como **CWE-416** (Use After Free). O fluxo de exploração envolve: 1. **Corrupção de memória:** O atacante aciona condição de corrida no gerenciamento de objetos do driver 2. **Reuso de memória liberada:** Controla o conteúdo da região liberada antes da referência UAF 3. **Execução em modo kernel:** Obtém execução de código no contexto SYSTEM via ponteiro corrompido Esta técnica alinha-se com [[t1068-exploitation-for-privilege-escalation|T1068]] (Exploitation for Privilege Escalation) e é comumente usada como segundo estágio após comprometimento inicial via [[t1566-phishing|T1566]] (Phishing) ou [[t1190-exploit-public-facing-application|T1190]]. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Conta usuário padrão<br/>Baixo privilégio"] --> B["🔓 Trigger UAF<br/>CVE-2025-62221<br/>cldflt.sys Cloud Files Driver"] B --> C["💥 Corrupção de memória<br/>Use-After-Free no kernel<br/>Ponteiro inválido controlado"] C --> D["⚡ Execução SYSTEM<br/>Privilégios completos<br/>Kernel mode execution"] D --> E["🔄 Persistência<br/>Modificar ACLs, criar contas<br/>Desabilitar EDR/AV"] ``` ## Mitigação **Ação imediata (CISA KEV):** 1. **Aplicar as atualizações de segurança** do Windows Update correspondentes à versão afetada 2. **Priorizar servidores Windows expostos** e estações de trabalho com múltiplos usuários 3. **Monitorar** criação de processos com privilégios elevados por contas de baixo privilégio 4. **Restringir acesso físico e RDP** para minimizar superfície de exploração local 5. **Implementar Credential Guard** e Windows Defender Credential Guard onde aplicável Consultar: [Microsoft MSRC - CVE-2025-62221](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221) > [!latam] Relevância para Brasil e América Latina > O ecossistema Windows domina ambientes corporativos e governamentais no Brasil. Vulnerabilidades LPE no kernel Windows são componentes críticos de toolkits de ataque usados por grupos como **Lazarus Group**, **APT28** e gangues de ransomware ativas na região. Esta CVE é particularmente relevante para SOCs brasileiros que monitoram atividade pós-exploração em ambientes Windows — qualquer processo de usuário padrão que gere tokens SYSTEM deve ser tratado como indicador de comprometimento. ## Referências - [Microsoft MSRC - CVE-2025-62221](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221) - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-62221) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) **Ver também:** [[_microsoft|Microsoft]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1566-phishing|T1566]] · [[t1190-exploit-public-facing-application|T1190]] · [[m1019-threat-intelligence-program|M1019]] · [[m1051-update-software|M1051]]