CVE-2025-64669 é uma falha de elevação local de privilégios no Windows Admin Center causada por permissões inseguras em C:ProgramDataWindowsAdminCenter, permitindo que um usuário comum chegue ao SYSTEM explorando componentes que acessar nesse diretório.
Microsoft já confirmou o problemapublicou correções para WAC 2.4.2.1 / 2411 e classificou a vulnerabilidade como Importante, após relatório do Cymulate, que recebeu uma recompensa de 5.000 dólares.
A falha e o impacto no WAC
O Windows Admin Center usa C:ProgramDataWindowsAdminCenter como diretório de dados e trabalho para serviços que rodam como NETWORK SERVICE e SYSTEM, mas o caminho é gravável pelos usuários padrão.
Esse desenho quebra o modelo de isolamento, pois código ou artefatos controlados por usuários de baixo privilégio passam a ser carregados por processos altamente privilegiados.
Como o WAC é amplamente adotado para gerenciar Windows Server, clusters, HCI e estações Windows 10/11, qualquer ambiente que use o gateway para fluxos administrativos, extensões ou automatizações herdadas o risco se usuários comuns tiverem acesso ao sistema de arquivos locais do host WAC.
Na prática, qualquer compromisso de contato de usuário padrão em um servidor WAC vulnerável pode causar comprometimento total da máquina.
Cadeia 1: abuso da desinstalação de extensões
Ao executar os binários .NET do WAC com dnSpy, os pesquisadores localizaram o código que, durante o processo de desinstalação de extensões, construiu uma pasta “uninstall” sob o diretório de UI do WAC e executa todos os scripts PowerShell (*.ps1) presentes ali com política AllSigned, em contexto privilegiado.
Como o diretório pai em C:ProgramDataWindowsAdminCenterExtensions
Quando o fluxo de desinstalação é disparado, o PowerShell roda como NETWORK SERVICE ou até SYSTEM, e o payload pode escrever em diretórios públicos, agendar tarefas ou criar novas contas administrativas, provando a elevação de privilégios a partir de uma conta padrão.
Esse cenário explora a confiança do mecanismo de manutenção de extensões em conteúdo proveniente de um caminho que não é restrito aos administradores.
Cadeia 2: sequestro do atualizador via DLL
O segundo vetor mira o componente WindowsAdminCenterUpdater.exe, responsável pelas atualizações do WAC.
Na engenharia reversa, o Cymulate concorda que o atualizador carrega DLLs de C:ProgramDataWindowsAdminCenterUpdater, outro diretório globalmente gravável.
As tentativas iniciais de sequestro de DLL falharam por causa de uma etapa de validação de assinatura que rejeitava bibliotecas não assinadas antes de invocar o atualizador.
Porém, os pesquisadores perceberam um clássico time-of-check to time-of-use (TOCTOU): a verificação de assinatura ocorre no processo principal do WindowsAdminCenter antes do lançamento do updater, abrindo espaço para execução entre o check e o load.
Monitorando como usuário comum a criação do processo WindowsAdminCenterUpdater.exe, eles passaram a copiar um user32.dll malicioso para o diretório Updater assim que o seguintevel surgia, usando um script no PowerShell para observar o evento WMI de criação de processo.
Essa corrida permite que uma DLL controlada pelo experiente seja fornecida pelo atualizador já em execução, sem passar pela validação prévia, executando com privilégios SYSTEM a partir de uma conta sem privilégios administrativos.
Confirmação da Microsoft e linha do tempo
A Cymulate relatou o problema ao MSRC em 5 de agosto de 2025; a falha foi reconhecida em 29 de agosto e o bounty pago em 3 de setembro.
Em 12 de novembro, a Microsoft avisou que um CVE seria emitido com severidade Important e que o patch seria incluído na rodada de atualizações de 10 de dezembro, ou que se confirmou com a publicação de CVE-2025-64669.
A partir de 15 de dezembro de 2025, o Cymulate adicionou ao seu Exposure Validation um cenário específico chamado “WindowsAdminCenter – CVE-2025-64669 Local Privilege Escalation”, permitindo que os clientes simulem o ataque contra seus gateways WAC para avaliar a exposição e eficácia de SIEM/EDR.
Outras fontes de segurança já classificaram o bug como falha de Controle de Acesso Inadequado que permite LPE em qualquer instalação WAC vulnerável.
Recomendações para administradores WAC
As organizações devem atualizar imediatamente o Windows Admin Center para a versão corrigida indicada pela Microsoft no comunicado do CVE-2025-64669, garantindo que os gateways 2.4.2.1 e as versões 2411 ou anteriores sejam substituídos.
Embora o patch não seja aplicado, medidas paliativas mínimas incluem permissões permanentes em C:ProgramDataWindowsAdminCenter (restrição para administradores), limitadas a quem pode interagir com extensões via UI/API e monitorar a criação de processos WindowsAdminCenterUpdater.exe e scripts do PowerShell executados a partir desse diretório.
Para equipes de segurança, vale a pena rodar testes de simulação (por exemplo, com o cenário do Cymulate) para verificar se o SIEM/EDR detecta scripts de desinstalação anômalos, carregamento suspeito de DLLs em WAC e tentativas de escalonamento no SISTEMA.
Servidores WAC são ativos de alta criticidade em redes Windows; qualquer evidência de exploração de CVE-2025-64669 deve ser tratada como indicativo de comprometimento de domínio e disparar investigação e resposta ampla.
