文章总结： 该文档通报了WindowsCloudFilesMiniFilterDriver权限提升漏洞(CVE-2020-17103)的安全风险。漏洞源于cldflt.sys驱动在处理注册表项时存在访问检查缺陷，攻击者可通过竞态条件攻击将普通用户权限提升至SYSTEM权限。影响范围包括所有Windows版本，PoC已公开但微软尚未提供完整修复补丁。建议用户监控微软安全公告并及时安装更新，同时限制非必要用户的本地登录权限。 综合评分： 82 文章分类： 漏洞分析,应急响应,终端安全,威胁情报,安全运营

【已复现】Windows Cloud Files Mini Filter Driver 权限提升漏洞(CVE-2020-17103)安全风险通告

奇安信 CERT

2026年5月18日 17:12 北京

在小说阅读器读本章

去阅读

● 点击↑蓝字关注我们，获取更多安全风险通告

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Windows Cloud Files Mini Filter Driver 本地权限提升漏洞 | | | | 漏洞编号 | QVD-2020-69025,CVE-2020-17103 | | | | 公开时间 | 2020-12-09 | 影响量级 | 千万级 | | 奇安信评级 | 高危 | CVSS 3.1分数 | 7.8 | | 威胁类型 | 权限提升 | 利用可能性 | 高 | | POC状态 | 已公开 | 在野利用状态 | 未发现 | | EXP状态 | 已公开 | 技术细节状态 | 已公开 | | 危害描述：攻击者可利用该漏洞，通过精心构造的竞态条件攻击，向 .DEFAULT 用户配置单元写入任意注册表键值，将普通用户权限提升至 SYSTEM 系统最高权限，从而完全控制目标主机。 | | | |

01

漏洞详情

>>>>

影响组件

Windows Cloud Files Mini Filter Driver（cldflt.sys）是 Windows 系统核心文件系统过滤驱动，主要为 OneDrive 等云存储服务提供占位符文件管理、云端文件同步、文件访问控制等关键功能，保障本地与云端文件的高效协同与权限隔离。该驱动运行于内核态，直接参与文件 IO 请求处理，是系统文件管理与云服务集成的基础组件，广泛部署于各类 Windows 终端与服务器设备，其安全性直接影响系统内核权限边界与数据安全。

>>>>

漏洞描述

近日，奇安信CERT监测到Windows Cloud Files Mini Filter Driver 本地权限提升漏洞(CVE-2020-17103)仍未修复，该漏洞源于 cldflt.sys 驱动中的 HsmOsBlockPlaceholderAccess 例程在处理注册表项创建时，未正确实施访问检查。攻击者可利用该漏洞，通过精心构造的竞态条件攻击，在用户态与匿名令牌之间进行切换，操纵内核中的 RtlOpenCurrentUser 函数，以绕过正常的访问限制，向 .DEFAULT 用户配置单元写入任意注册表键值，将普通用户权限提升至 SYSTEM 系统最高权限，从而完全控制目标主机。Microsoft 曾宣称在2020年12月修复，但实际补丁不完整或被回滚，导致在最新 Windows 11 系统上仍可被利用。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02

影响范围

>>>>

影响版本

目前所有 Windows 版本（包括最新 Windows 11 已打全补丁的系统）

>>>>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Windows Cloud Files Mini Filter Driver 本地权限提升漏洞(CVE-2020-17103)，截图如下：

04

处置建议

>>>>

安全更新

截至本通告发布时，微软尚未针对 MiniPlasma 披露发布官方安全更新。建议采取以下措施：

1.监控微软安全响应中心(MSRC)关于 CVE-2020-17103 的最新公告，并及时安装相关安全更新。

2.严格审核和限制本地用户账户，避免向非必要用户授予本地登录权限。

05

参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103

[2]https://github.com/Nightmare-Eclipse/MiniPlasma

[3]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-17103

06

时间线

2026年05月18日，奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文，到ALPHA威胁分析平台订阅更多漏洞信息。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《【已复现】Windows Cloud Files Mini Filter Driver 权限提升漏洞(CVE-2020-17103)安全风险通告》