文章总结： CVE-2020-17103是WindowsCloudFilter驱动中的本地提权漏洞，最初由GoogleProjectZero在2020年报告，微软声称修复但实际未修复。该漏洞通过条件竞争实现权限提升，影响所有Windows版本，包括最新Win1124H2。文档提供PoC利用方法和临时缓解措施，建议限制本地访问并监控异常行为。 综合评分： 82 文章分类： 漏洞分析,威胁情报,应急响应,Windows安全,漏洞预警

[附POC] 通杀Windows 全版本的本地提权漏洞 (CVE-2020-17103) 六年后仍可稳定提权

原创

qysec qysec

吃瓜安全

2026年5月17日 19:46 上海

在小说阅读器读本章

去阅读

免责声明本

文所涉及的网络安全技术、漏洞原理、工具使用等内容，仅用于网络安全学习、研究与合法的攻防测试，严禁用于任何非法入侵、数据窃取、恶意攻击、网络破坏等违法违规行为。任何单位或个人若将本文内容用于非法用途，所产生的一切法律责任、经济损失及后果均由使用者自行承担，本公众号及作者不承担任何相关责任。请严格遵守《中华人民共和国网络安全法》《网络安全等级保护条例》等相关法律法规，恪守网络安全道德准则，共同维护安全、健康、有序的网络环境。

一、漏洞概述

CVE-2020-17103 是 Windows Cloud Filter 组件中的一个本地提权漏洞。Cloud Filter 是 Windows 10 和 Windows Server 中用于支持云文件同步的驱动程序，OneDrive、iCloud Drive 等云存储服务都依赖该组件实现文件按需同步功能。

该漏洞最初由 Google Project Zero 的安全研究员 James Forshaw 发现并报告给微软，微软在 2020 年 11 月安全更新中声称已修复。然而，根据最新的安全研究，这个漏洞实际上从未被真正修复。

近三周 Linux 也连续爆出 CopyFail、DirtyFrag、Fragnesia 三个本地提权漏洞。无论是 Windows 还是 Linux，操作系统内核的安全防线都在持续受到挑战。对于安全从业者来说，这再次提醒我们：没有绝对安全的系统，只有持续不断的防御。

| 项目 | 内容 | | — | — | | 漏洞编号 | CVE-2020-17103 | | 受影响组件 | Windows Cloud Filter (cldflt.sys) | | 漏洞类型 | 本地提权 (EoP) | | 发现者 | James Forshaw (Google Project Zero) | | 原始修复版本 | 2020年11月安全更新 | | 实际状态 | 未修复，所有 Windows 版本均受影响 |

二、漏洞背景

2.1 发现历史

2020 年，Google Project Zero 的 James Forshaw 在分析 Windows Cloud Filter 驱动时，发现 cldflt!HsmOsBlockPlaceholderAccess 例程中存在安全漏洞。该漏洞被分配编号 CVE-2020-17103，微软在 2020 年 11 月安全更新中发布了补丁。

2.2 六年后的重新发现

安全研究员 Nightmare-Eclipse 在分析 GreenPlasma 项目中使用的 SetPolicyVal` 技术时，重新审视了 `cldflt!HsmOsBlockPlaceholderAccess 例程。令人震惊的是，他发现这个六年前被报告给微软的漏洞，实际上仍然存在，从未被修复。

研究员表示：

我原本认为微软不可能不修复这个漏洞，或者回滚补丁。但经过调查，Google Project Zero 报告的同一个问题，至今仍然存在，未打补丁。我不确定微软是根本没有修复，还是补丁在某个时间点被悄悄回滚了。

三、漏洞原理

3.1 Cloud Filter 简介

Cloud Filter 驱动 (cldflt.sys) 是 Windows 的文件系统微过滤器驱动，负责拦截文件系统操作，将云存储文件的状态信息传递给用户态服务。它通过 IOCTL 接口与用户态通信，处理云文件的水印标记、同步状态查询等操作。

3.2 漏洞根因

漏洞位于 cldflt!HsmOsBlockPlaceholderAccess 例程中。该例程在处理特定策略值时，存在条件竞争漏洞 (Race Condition)。攻击者可以利用这个竞争条件，在驱动处理请求的过程中篡改关键数据，实现权限提升。

3.3 利用流程

攻击流程：

1. 获取低权限用户身份

   └── 普通用户或服务账户

1. 打开 Cloud Filter 驱动设备

   └── 通过文件系统筛选器句柄

1. 触发条件竞争

   ├── 在驱动处理策略值时发起并发请求
   ├── 利用时间窗口篡改内核数据
   └── 覆盖进程访问令牌

1. 提升至 SYSTEM 权限

   └── 创建 SYSTEM 权限的命令行窗口

四、漏洞复现

4.1 环境准备

从阿里云购买window11专业版 (5月更新) 从 GitHub 克隆项目：

git clone https://github.com/Nightmare-Eclipse/MiniPlasma.git

可自行编译也可以直接使用作者编译好的可执行文件。 以管理员身份打开cmd, 执行PoC_AbortHydration_ArbitraryRegKey_EoP.exe (作者编译好的)

成功提权至system, 整个过程不到5秒钟

4.2 注意事项

• 该漏洞利用依赖条件竞争，成功率可能因系统负载和硬件配置而异
• 多次尝试可以提高成功率
• 部分安全软件可能会拦截提权行为
• 复现完成后建议重启系统，恢复正常的权限状态

五、影响范围：所有 Windows 版本

这是该漏洞最值得关注的一点。根据安全研究员 Nightmare-Eclipse 的确认：

I believe all Windows versions are affected by this vulnerability.

这意味着该漏洞的影响范围远超预期，覆盖了几乎所有仍在使用的 Windows 操作系统。

对于无法利用此漏洞的旧版 Windows 系统（如 Windows 7/8.1 未安装 Cloud Filter 组件的情况），可结合土豆家族等其他提权技术进行补充利用，实现全版本覆盖。

| 操作系统版本 | 受影响状态 | 说明 | | — | — | — | | Windows 11 24H2 | 受影响 | 最新版本仍存在漏洞 | | Windows 11 23H2 | 受影响 | | | Windows 11 22H2 | 受影响 | | | Windows 11 21H2 | 受影响 | | | Windows 10 22H2 | 受影响 | 最新 Windows 10 版本 | | Windows 10 21H2 | 受影响 | | | Windows 10 20H2 | 受影响 | | | Windows 10 2004 | 受影响 | | | Windows 10 1909 | 受影响 | | | Windows 10 1903 | 受影响 | | | Windows 10 1809 | 受影响 | | | Windows 10 1803 | 受影响 | Cloud Filter 首次引入 | | Windows Server 2025 | 受影响 | 最新 Server 版本 | | Windows Server 2022 | 受影响 | | | Windows Server 2019 | 受影响 | | | Windows Server 2016 | 受影响 | | | Windows 8.1 | 有条件受影响 | 系统默认不含 cldflt.sys，安装了 OneDrive 等云存储服务后可能附带该驱动 | | Windows 7 | 有条件受影响 | 系统默认不含 cldflt.sys，安装了 OneDrive 等云存储服务后可能附带该驱动 |

需要特别说明的是，Cloud Filter 驱动 (cldflt.sys) 最早在 Windows 10 1803 中引入。对于 Windows 10 1803 及以上版本，系统自带该驱动，漏洞直接影响这些系统。对于更早的 Windows 版本（如 Windows 7、Windows 8.1），如果通过更新或第三方软件安装了 Cloud Filter 组件，同样可能受到影响。

六、MiniPlasma PoC 分析

6.1 项目特点

• 基于 Google Project Zero 的原始 PoC 进行武器化
• 利用条件竞争漏洞实现提权
• 成功后可生成 SYSTEM 权限的命令行窗口
• 在测试环境中表现稳定

6.2 利用技术

Token 窃取

利用条件竞争漏洞，在驱动处理策略值的过程中篡改当前进程的访问令牌，将其替换为 SYSTEM 进程的令牌。

条件竞争

通过精心构造的并发请求，在驱动处理 HsmOsBlockPlaceholderAccess 例程的关键时间窗口内，完成对内核数据的篡改。

七、危害评估

| 维度 | 评级 | 说明 | | — | — | — | | 影响范围 | 极其广泛 | 所有 Windows 版本均受影响 | | 利用难度 | 中等 | 需要本地访问权限，利用条件竞争 | | 危害等级 | 高危 | 可从普通用户提权至 SYSTEM | | 修复状态 | 未修复 | 微软六年前声称修复，实际未修复 |

八、安全建议

8.1 当前状态

由于该漏洞在所有 Windows 版本上均存在，且微软尚未发布有效补丁，目前没有完全的修复方案。

8.2 临时缓解措施

• 限制本地用户登录，减少攻击面
• 启用 Windows Defender 攻击面减少 (ASR) 规则
• 监控异常的内核驱动加载行为
• 限制非授权用户对系统的物理或远程访问

8.3 后续关注

• 关注微软后续安全更新，看是否真正修复该漏洞
• 关注安全社区对该漏洞的进一步分析
• 评估自身环境是否面临该漏洞的实际威胁

九、总结

CVE-2020-17103 是一个令人深思的案例。一个由 Google Project Zero 发现并报告的高危漏洞，微软声称在六年前就已修复，但实际上漏洞从未被真正解决。更令人担忧的是，该漏洞影响所有 Windows 版本，这意味着从 Windows 10 1803 到最新的 Windows 11 24H2，没有任何一个版本能够幸免。

这提醒我们：

• 安全补丁的有效性需要持续验证
• 即使是大厂商的修复声明，也不应盲目信任
• 安全研究中的重新审视和复现有重要价值
• 影响所有版本的漏洞，其潜在危害远超预期

MiniPlasma的项目以简洁的代码证明了这一点，也再次提醒安全从业者：在安全领域，永远不要假设一个漏洞已经被彻底修复。

如果喜欢今天的内容，记得关注公众号，后续我会持续分享更多实用干货、技巧和新鲜内容，不迷路！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：吃瓜安全 qysec qysec《[附POC] 通杀Windows 全版本的本地提权漏洞 (CVE-2020-17103) 六年后仍可稳定提权》