CVE-2025-14490：RealDefense SUPERAntiSpyware中暴露的危险方法或函数 (CWE-749)

严重性：高 类型：漏洞

CVE-2025-14490

RealDefense SUPERAntiSpyware 暴露危险函数本地权限提升漏洞。该漏洞允许本地攻击者在受影响的 RealDefense SUPERAntiSpyware 安装上提升权限。攻击者必须先获得在目标系统上执行低权限代码的能力才能利用此漏洞。

具体缺陷存在于 SAS Core Service 中。该问题源于一个暴露的危险函数。攻击者可利用此漏洞提升权限，并在 SYSTEM 上下文中执行任意代码。对应 ZDI-CAN-27659。

AI 分析技术摘要

CVE-2025-14490 是在 RealDefense SUPERAntiSpyware 免费版 10.0.1276 版本中发现的本地权限提升漏洞。该漏洞源于反间谍软件核心操作组件 SAS Core Service 内部暴露的一个危险函数。已在受影响系统上具备执行低权限代码能力的攻击者可利用此缺陷将其权限提升至 Windows 系统最高权限级别——SYSTEM。此提权使攻击者能够以完全系统控制权执行任意代码，可能绕过安全控制，并损害系统的机密性、完整性和可用性。

该漏洞归类于 CWE-749，涉及可能被用于权限提升的暴露危险方法或函数。其 CVSS v3.0 评分为 7.8，反映了本地攻击向量、低攻击复杂性、所需权限以及对机密性、完整性和可用性影响的综合严重程度。

截至发布日期（2025年12月23日），尚未报告公开的利用程序，也未发布官方补丁。该漏洞由 Zero Day Initiative (ZDI) 预留并分配，标识符为 ZDI-CAN-27659。使用此版本 SUPERAntiSpyware 的组织应意识到此风险，并准备在可用时部署缓解措施或补丁。

潜在影响

对于欧洲组织而言，此漏洞构成重大风险，特别是对那些依赖 RealDefense SUPERAntiSpyware 进行终端防护的组织。成功利用可使攻击者获得 SYSTEM 级别权限，从而完全控制受影响的机器。这可能导致未经授权访问敏感数据、破坏安全控制、安装持久性恶意软件以及在网络内横向移动。如果被利用，金融、医疗、政府和能源等关键行业可能面临严重的运营和声誉损害。

本地代码执行的要求意味着初始入侵途径可能包括网络钓鱼、恶意内部人员或利用其他漏洞。缺乏补丁增加了暴露窗口，高严重性评分突显了解决此威胁的紧迫性。运行受影响软件的分布式终端设备的欧洲组织尤其容易受到广泛影响。

缓解建议

严格限制本地用户权限，以最大程度减少攻击者执行低权限代码的能力。
采用应用程序白名单和终端检测与响应（EDR）解决方案，以监控和阻止与 SAS Core Service 相关的可疑活动。
在补丁可用之前，在可行的情况下禁用或限制 SAS Core Service。
定期审计终端上安装的软件版本，以识别和隔离运行易受攻击版本 10.0.1276 的系统。
实施严格的网络分段，以限制终端受损时的横向移动。
对用户进行有关网络钓鱼和社会工程策略的教育，以降低初始入侵风险。
密切关注供应商关于补丁发布的通信，并及时应用更新。
考虑部署额外的终端保护层以检测权限提升尝试。
使用系统完整性监控工具来检测 SYSTEM 级别的未授权更改。
制定专门针对本地权限提升场景的事件响应计划。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、比利时、波兰、瑞典、瑞士

来源： CVE Database V5 发布时间： 2025年12月23日星期二