CVE-2025-14495: CWE-749: RealDefense SUPERAntiSpyware 中暴露的危险方法或函数

严重性：高 类型：漏洞

CVE-2025-14495

RealDefense SUPERAntiSpyware 暴露的危险函数本地权限提升漏洞。该漏洞允许本地攻击者在受影响的 RealDefense SUPERAntiSpyware 安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力才能利用此漏洞。

具体缺陷存在于 SAS Core Service 中。该问题源于一个暴露的危险函数。攻击者可利用此漏洞提升权限并在 SYSTEM 上下文中执行任意代码。曾用编号 ZDI-CAN-27677。

AI 分析

技术摘要

CVE-2025-14495 是一个影响 RealDefense SUPERAntiSpyware 版本 10.0.1276 免费版的本地权限提升漏洞。该漏洞源于 SAS Core Service 组件内部一个暴露的危险函数，该组件不恰当地暴露了可被攻击者利用的功能。要利用此缺陷，攻击者必须首先获得在目标系统上以低权限执行代码的能力，例如通过单独的漏洞或本地访问。一旦建立立足点，攻击者即可调用暴露的函数，将权限提升至 SYSTEM 级别（Windows 系统中的最高权限）。此提升允许以完整的系统权限执行任意代码，可能导致系统被完全控制。该漏洞被标识为 CWE-749，表明暴露了本不应被访问的危险方法或函数。其 CVSS v3.0 基础评分为 7.8，反映了对机密性、完整性和可用性的高影响，且攻击复杂度低，无需用户交互。目前没有公开的漏洞利用程序或补丁，但该漏洞于 2025 年 12 月 23 日发布，并以 ZDI-CAN-27677 编号进行追踪。受影响的产品主要用于 Windows 端点，特别是免费版 10.0.1276 存在此漏洞。在攻击者能够获得初始低级访问权限的环境中，此漏洞构成了重大风险，使他们能够完全控制受影响的系统。

潜在影响

对于欧洲组织，此漏洞构成了严重风险，因为它使获得有限本地访问权限的攻击者能够将权限提升至 SYSTEM 级别，可能导致系统被完全控制。这可能导致对敏感数据的未授权访问、关键服务的中断以及部署更多恶意软件或勒索软件的能力。依赖 RealDefense SUPERAntiSpyware 进行端点保护的组织，若此漏洞被利用，其安全态势可能会降低。在金融、医疗保健和政府等拥有敏感数据的行业，其影响尤为关键，因为这些行业的机密性和完整性至关重要。此外，如果攻击者禁用安全控制或破坏系统运行，可用性也会受到影响。缺乏补丁增加了暴露窗口，使得主动缓解措施变得至关重要。由于利用需要事先的本地代码执行，如果组织拥有强大的边界防御和端点控制，总体风险会得到缓解，但内部威胁或链式攻击仍然令人担忧。

缓解建议

1. 立即审计并限制本地用户权限，以最小化低权限代码执行的风险。
2. 实施严格的应用程序白名单和端点检测与响应 (EDR) 解决方案，以检测和阻止可疑的本地活动。
3. 监控日志中 SAS Core Service 的不寻常调用或意外的权限提升。
4. 隔离运行易受攻击版本 SUPERAntiSpyware 的系统，以限制暴露范围。
5. 教育用户和管理员关于本地执行不受信任代码的风险。
6. 与 RealDefense 协调以获得及时更新，并在补丁发布后立即应用。
7. 在关键环境中，考虑临时移除或更换受影响的 SUPERAntiSpyware 版本，直到有可用的修复程序。
8. 如果系统遭到入侵，采用网络分段来限制横向移动。
9. 定期审查和更新端点安全策略以减少攻击面。
10. 使用多因素认证和强访问控制来防止未授权的本地访问。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、波兰、比利时、瑞典、瑞士

来源： CVE 数据库 V5 发布日期： 2025年12月23日 星期二