CVE-2025-14492: CWE-749: RealDefense SUPERAntiSpyware 中暴露的危险方法或函数

严重性：高 类型：漏洞 CVE：CVE-2025-14492

漏洞描述 RealDefense SUPERAntiSpyware 暴露危险函数本地权限提升漏洞。该漏洞允许本地攻击者在受影响的 RealDefense SUPERAntiSpyware 安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力才能利用此漏洞。

具体缺陷存在于 SAS Core Service 中。该问题源于一个暴露的危险函数。攻击者可利用此漏洞提升权限并在 SYSTEM 上下文中执行任意代码。该漏洞被分配为 ZDI-CAN-27668。

技术总结 CVE-2025-14492 是在 RealDefense SUPERAntiSpyware 10.0.1276 免费版中识别出的一个本地权限提升漏洞。该漏洞源于 SAS Core Service 组件内部暴露的一个危险方法，该方法不当地暴露了可供已能在受影响系统上以低权限执行代码的攻击者利用的功能。通过利用此缺陷，攻击者可以将其权限提升至 SYSTEM 级别，从而有效获得对受感染机器的完全控制。这允许以最高权限执行任意代码，可能导致系统完全被攻陷、数据被盗或安全服务中断。

该漏洞归类于 CWE-749（暴露的危险方法或函数），表明软件暴露了本应受到保护或非特权用户无法访问的内部方法。CVSS v3.0 基本评分为 7.8，反映了较高的严重性，这归因于本地攻击向量、低攻击复杂度以及对机密性、完整性和可用性的高影响组合。利用此漏洞无需用户交互，但确实需要事先具备本地代码执行能力，这意味着攻击者必须首先通过其他方式在系统上获得立足点。截至发布日期，尚未报告有公开的利用程序或在野的主动利用。该漏洞由零日倡议（ZDI）分配为 ZDI-CAN-27668。报告时未列出补丁，因此缓解措施依赖于限制本地访问和监控。此漏洞尤其令人担忧，因为它针对的是旨在保护系统的反恶意软件产品，若被利用则可能破坏终端安全防御。

潜在影响 对于欧洲组织，CVE-2025-14492 的影响可能很严重。由于 SUPERAntiSpyware 是一种终端安全产品，成功利用可能允许攻击者绕过安全控制、提升权限并以 SYSTEM 级访问权限执行任意代码。这可能导致系统完全被攻陷、数据泄露、安全监控中断以及在企业网络内的横向移动。依赖此产品进行终端保护的组织可能会发现其防御体系被削弱，增加了持续威胁和高级攻击的风险。本地代码执行的要求意味着可以利用诸如网络钓鱼、恶意下载或内部威胁等初始入侵向量来利用此漏洞。对机密性、完整性和可用性的高影响意味着敏感数据可能被暴露或篡改，关键系统可能被禁用或操纵。目前已知在野利用程序的缺乏降低了即时风险，但并未消除风险，因为一旦发布补丁或该漏洞广为人知，攻击者可能会开发利用程序。拥有大规模终端部署的欧洲企业，特别是在金融、医疗保健和政府等数据敏感性和法规遵从性至关重要的行业，面临更高的风险。

缓解建议

1. 立即限制本地用户权限，以最大限度地降低低权限用户在运行 SUPERAntiSpyware 10.0.1276 免费版的系统上执行任意代码的能力。
2. 使用终端检测与响应（EDR）工具监控和审计本地进程创建及权限提升尝试，以识别表明利用尝试的可疑行为。
3. 一旦供应商补丁或更新可用，立即应用；与 RealDefense 保持密切沟通以获取安全建议。
4. 考虑部署应用程序白名单，以防止低权限用户未经授权执行代码。
5. 实施网络分段和最小权限原则，以限制受感染终端的影响。
6. 对用户进行网络钓鱼和社会工程风险教育，以减少初始立足点机会。
7. 如果补丁延迟，在评估操作影响后，如果可行，考虑暂时禁用或限制 SAS Core Service。
8. 定期进行漏洞评估和渗透测试，重点关注终端安全产品以检测类似的弱点。
9. 维护最新的备份和事件响应计划，以便从潜在的入侵中快速恢复。

受影响国家 德国、法国、英国、意大利、西班牙、荷兰、波兰

来源： CVE Database V5 发布日期： 2025年12月23日，星期二

技术细节

• 数据版本： 5.2
• 分配者简称： zdi
• 预留日期： 2025-12-10T20:30:15.381Z
• Cvss 版本： 3.0
• 状态： PUBLISHED
• 威胁 ID： 694b0a16d69af40f312b7e25
• 添加到数据库： 2025年12月23日，下午9:31:02
• 最后丰富： 2025年12月23日，下午9:48:04
• 最后更新： 2025年12月24日，上午3:55:26
• 查看次数： 3