Data de publicação original: 8 de abril de 2025
ID da BDC: 5058189
Resumo
Existe uma vulnerabilidade no Windows que permite aos utilizadores não autorizados ver o caminho de ficheiro completo para um recurso ao qual não têm permissões de acesso. Esta vulnerabilidade pode ocorrer quando o utilizador tem FILE_LIST_DIRECTORY direitos de acesso numa pasta principal e obtém notificações de alteração de diretório.
Para obter mais informações sobre esta vulnerabilidade, consulte CVE-2025-21197 e CVE-2025-27738.
Mais informações
A correção desta vulnerabilidade está incluída nas atualizações do Windows lançadas a 8 de abril de 2025 ou depois.
Esta correção pode ser aplicada aos volumes NTFS e ReFS para evitar esta vulnerabilidade. Esta correção efetua uma verificação de acesso FILE_LIST_DIRECTORY na pasta principal do ficheiro ou pasta alterado antes de comunicar alterações a um utilizador não autorizado. Se o utilizador não tiver as permissões necessárias, as notificações de alteração serão filtradas, impedindo a divulgação não autorizada de caminhos de ficheiros.
Por predefinição, esta correção está desativada para evitar riscos de segurança inesperados ou interrupção da aplicação.
Para ativar esta correção, pode definir o valor da chave de registo ou o valor da chave da política de grupo no sistema afetado. Para tal, utilize um dos seguintes métodos.
Método 1: Registo
No registo do Windows, ative a correção na subchave Políticas ou Sistema de Ficheiros .
Atenção Se as subchaves Políticas e FileSystem estiverem ativadas, a subchave Políticas tem precedência.
|
Políticas |
Localização do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Nome DWORD: EnforceDirectoryChangeNotificationPermissionCheck Data do valor: 1 (o valor predefinido é 0) Nota Para desativar a correção, defina os Dados do valor como 0. |
|
Sistema de Ficheiros |
Localização do registo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Nome DWORD: EnforceDirectoryChangeNotificationPermissionCheck Data do valor: 1 (o valor predefinido é 0) Nota Para desativar a correção, defina os Dados do valor como 0. |
Método 2: PowerShell
Para ativar a correção, execute o PowerShell como administrador e ative a correção na subchave Políticas ou Sistema de Ficheiros .
|
Políticas |
Execute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
Sistema de Ficheiros |
Execute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Para desativar a correção, execute o PowerShell como administrador e desative a correção na subchave Políticas ou Sistema de Ficheiros .
|
Políticas |
Execute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
Sistema de Ficheiros |
Execute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
