Elastic Defend 中存在高危漏洞（CVE-2025-37735），可导致本地攻击者以SYSTEM权限删除任意文件

Elastic 已发布安全更新，修复其 Elastic Security 套件中端点保护组件 Elastic Defend 存在的严重漏洞。该漏洞编号为 CVE-2025-37735，分类为“权限保留不当”，CVSS 评分为 7.0，属于高严重性漏洞。

公告指出：“Windows 主机上 Elastic Defend 的权限保留不当问题可能导致系统上的任意文件被以 SYSTEM 权限运行的 Defend 服务删除。在某些情况下，这可能导致本地权限提升。”

这意味着具有有限访问权限的本地攻击者可能利用该漏洞删除关键系统文件，将权限提升至 SYSTEM（Windows 最高访问级别）。

Elastic 确认该问题影响其多个产品线分支，包括 8.x 和 9.x 版本。

在受影响环境中，Elastic Defend 的高权限服务可能被操纵删除普通用户无法修改的文件。这使其成为强大的本地权限提升（LPE）向量，在攻击者已通过其他漏洞或社会工程学手段入侵的环境中尤其危险。

Elastic 建议所有用户立即升级至修复版本（8.19.6、9.1.6 或 9.2.0）。

对于无法立即部署更新版本的客户，Elastic 提供了临时缓解措施：

“Windows 11 24H2 包含的更改使该漏洞更难被利用。无法升级 Defend 的用户应考虑升级至 Windows 11 24H2 或更高版本。”

尽管这并非彻底修复，但在 Windows 11 24H2 上运行 Elastic Defend 可通过收紧用户模式访问限制，显著降低该漏洞的可利用性。