Windows 11 存在一個嚴重漏洞，攻擊者可在短短 300 毫秒內從低權限用戶提升至系統管理員權限。

該漏洞編號為 CVE-2025-24076，通過精密的 DLL 劫持技術利用 Windows 11“移動設備”功能的缺陷。安全研究人員于 2024 年 9 月發現此漏洞，并于 2025 年 4 月 15 日公開披露，其攻擊目標是 Windows 11 攝像頭功能加載的 DLL 文件。

研究人員發現，位于用戶可修改目錄 %PROGRAMDATA%\CrossDevice\ 下的 CrossDevice.Streaming.Source.dll 文件會先由普通用戶進程加載，隨后被高權限系統進程加載。

Compass Security 公司的 John Ostrowski 表示：“這個漏洞是典型的 DLL 劫持場景，但包含極具挑戰性的時間控制因素，攻擊窗口期極短——僅有 300 毫秒，但我們開發了可靠的技術手段實現穩定利用。 ”

Windows 11 權限提升漏洞技術細節

漏洞利用過程面臨多項技術挑戰。研究人員最初使用 PrivescCheck 工具進行自動化掃描，發現非特權用戶對 COM 服務器模塊文件具有修改權限：

為克服短暫的時間窗口，研究人員采用機會鎖（Opportunistic Locks）技術在關鍵時刻暫停程序執行。通過微軟 Detours 庫，他們攔截了專門針對 GetFileVersionInfoExW 的 Windows API 調用，以確定可靠替換文件的時機。

研究人員創建了惡意 DLL 文件，該文件在保留原有功能的同時添加了未授權命令：

當高權限進程加載該 DLL 時，惡意代碼將以 SYSTEM 權限執行。為確保被替換的 DLL 保持原有功能，研究人員實現了代理機制，將函數調用轉發至原始 DLL：

緩解措施

該漏洞影響啟用了“移動設備”功能的 Windows 11 系統，該功能允許用戶將手機鏈接為網絡攝像頭使用。微軟已在 2025 年 3 月的安全更新中發布補丁。

此發現凸顯了在特權進程中實施嚴格文件訪問控制和簽名驗證的重要性。即使在沒有可用補丁的情況下，端點檢測與響應（EDR）解決方案也能通過行為監控檢測此類攻擊。

研究人員建議 ：“雖然保持系統更新至關重要，但用戶還可采取額外防護措施，使用 EDR 解決方案可以主動檢測異常行為，識別可疑活動。”

微軟將主系統級權限提升漏洞編號為 CVE-2025-24076，同一功能中的相關用戶間攻擊向量編號為 CVE-2025-24994。強烈建議用戶安裝最新的 Windows 安全更新以修復這些漏洞。

該漏洞利用案例表明，即使是現代操作系統，在新功能實現中也可能受到長期存在的攻擊技術威脅，特別是當熟練的攻擊者利用時間差和競爭條件時。