CVE-2025-12838: CWE-59: MSP360 Free Backup中文件访问前链接解析不当(链接跟随)
严重性:高 类型:漏洞
CVE-2025-12838 MSP360 Free Backup 链接跟随本地权限提升漏洞。该漏洞允许本地攻击者在受影响的MSP360 Free Backup安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力才能利用此漏洞。此外,还需要管理员方面的用户交互。
具体缺陷存在于还原功能中。通过创建一个连接点,攻击者可以滥用该服务来创建任意文件。攻击者可利用此漏洞提升权限,并在SYSTEM上下文中执行任意代码。该漏洞编号为ZDI-CAN-27245。
AI分析
技术总结
CVE-2025-12838是在MSP360 Free Backup版本8.1.0.620中发现的一个本地权限提升漏洞。根本原因是软件还原功能中存在文件访问前链接解析不当(CWE-59)的问题。具体来说,该漏洞允许攻击者创建一个连接点(Windows中的一种符号链接),备份服务在还原操作期间会不当跟随此链接。通过利用此行为,拥有低级代码执行权限的攻击者可以诱骗服务以SYSTEM级权限创建或覆盖任意文件。这可能导致在SYSTEM用户上下文中执行任意代码,从而有效地将权限从低权限用户提升至完全系统控制。利用此漏洞需要攻击者已具备在目标机器上以有限权限执行代码的能力,并且需要管理员执行一些用户交互,例如启动或批准还原操作。该漏洞由零日倡议(ZDI)报告,编号为ZDI-CAN-27245,其CVSS v3.0评分为7.3分,由于其对机密性、完整性和可用性的影响,反映了高严重性。目前尚未公开已知的漏洞利用方法,但如果结合其他能够实现初始代码执行的攻击向量,该漏洞会构成重大风险。报告时缺乏官方补丁,需要受影响组织立即采取缓解措施。
潜在影响
对于欧洲组织而言,此漏洞带来了重大风险,特别是那些依赖MSP360 Free Backup进行关键数据保护和恢复操作的组织。成功利用可导致完全的SYSTEM级入侵,允许攻击者操纵备份数据、植入持久性恶意软件或中断备份和恢复过程。这可能导致数据丢失、未经授权的数据泄露或运营中断。在金融、医疗、政府和关键基础设施等数据完整性和可用性至关重要的行业中的组织尤其脆弱。对本地代码执行和管理员交互的要求在一定程度上限制了远程利用,但并未消除风险,尤其是在存在内部威胁或网络内横向移动可能的环境中。此外,权限提升能力可能助长进一步的攻击,包括勒索软件部署或间谍活动。目前尚未在野外发现已知的漏洞利用方法,这为主动防御提供了时间窗口,但高严重性评分强调了解决该漏洞的紧迫性。
缓解建议
为了缓解CVE-2025-12838,欧洲组织应实施几项超出通用最佳实践的具体措施:
- 通过强制实施严格的应用程序白名单和端点保护来限制本地代码执行能力,以防止不受信任的代码以低权限运行。
- 通过实施多因素认证和基于角色的访问控制来限制管理员与备份还原操作的用户交互,以降低无意中遭受利用的风险。
- 监控和审计运行MSP360 Free Backup的系统上连接点和符号链接的创建,使用文件系统监控工具检测可疑活动。
- 如果可行,在官方补丁发布之前,暂时禁用或限制MSP360 Free Backup中的还原功能。
- 对备份服务器进行分段,并仅限受信任的管理员访问,以最小化攻击面。
- 维护存储于离线或不可变存储中的最新备份,以确保在遭受攻击时的恢复能力。
- 关注供应商公告,并在补丁可用后立即应用。
- 定期对管理员进行安全意识培训,以识别和防止可能促进漏洞利用的社会工程攻击尝试。
受影响国家
德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典
来源: CVE数据库 V5 发布日期: 2025年12月23日,星期二