美国CERT协调中心(CERT/CC)近日发布漏洞通告,披露了Lakeside Software开发的广泛部署终端监控工具SysTrack中存在一个严重的权限提升漏洞。该漏洞编号为CVE-2025-6241,攻击者可借此以SYSTEM级权限执行任意代码,从而可能导致整个企业环境遭到全面入侵。
SysTrack是Lakeside数字化员工体验平台的重要组成部分,旨在深入分析终端健康状况和用户生产力。其中一个核心组件LsiAgent.exe在系统启动时以SYSTEM账户运行,用于收集遥测信息和状态数据。
根据报告,LsiAgent.exe会尝试从System PATH环境变量中列出的任意位置加载名为wfapi.dll的动态链接库(DLL)文件,这一设计如果缺乏安全检查,将极具风险。
CERT/CC指出:“程序未正确校验DLL文件加载来源,攻击者可以通过投放恶意DLL文件获得代码执行权限。”
这种漏洞类型被称为DLL劫持(DLL Hijacking)漏洞,在本案例中,它会导致本地权限提升(LPE)。
漏洞的利用方式主要有两种:
1. PATH路径DLL注入
攻击者只要拥有系统PATH变量中任意目录的写入权限,就可以放置一个恶意的wfapi.dll文件。当LsiAgent.exe在系统启动或用户操作时运行时,它会在不知情的情况下加载并执行该恶意DLL,且具备SYSTEM级权限。
2. 捆绑DLL攻击
另一种方式是攻击者分发重新打包的LsiAgent.exe,并将恶意DLL文件一并包含在其中。如果用户运行该可执行文件,捆绑的DLL就会被加载,再次获得完整的系统访问权限。
CERT/CC强调:“当受害者运行看似安全的LsiAgent.exe时,恶意DLL会被执行。”
该漏洞的潜在危害极其严重。由于该进程以NT AUTHORITY\SYSTEM权限运行且由Lakeside Software签名,任何利用该漏洞进行的恶意行为都会看似来自可信来源。
这意味着攻击者可实现完全接管系统、凭据窃取、横向移动,甚至部署勒索软件,尤其是在SysTrack广泛应用于成百上千终端的企业环境中,风险更为放大。
受影响的版本为SysTrack 10.05.0027,漏洞已在10.10.0.42及以上版本中修复。Lakeside Software已发布修复补丁,更新的二进制文件通过实现更严格的路径验证,解决了不安全的DLL加载行为。
发表评论
您还未登录,请先登录。
登录