kaleth4/CVE-2025-14018

**CVE-2025-14018: NetBT e-Fatura 权限提升漏洞** ## 📋 基本信息 | 参数 | 值 | |-----------|-------| | **CVE ID** | CVE-2025-14018 | | **漏洞类型** | 本地权限提升 | | **CWE** | CWE-428 | | **受影响产品** | NetBT e-Fatura | | **受影响版本** | < 1.2.15 | | **Exploit 作者** | Seccops | | **发现日期** | 2025-10-03 | | **测试操作系统** | Microsoft Windows Server 2019 DC | | **风险等级** | 中 | | **所需访问权限** | 本地 | | **是否可远程利用** | 否 | ## 🔍 漏洞描述 该漏洞允许未经授权的本地用户在系统上以提升的权限执行任意代码。NetBT e-Fatura 的 **InboxProcessor** 服务配置了**未加引号的服务路径**，这允许仅具有基本权限的攻击者将权限提升至 **LocalSystem**。 ### 已识别的攻击向量 1. **未加引号的路径** - 当前路径：`C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe` - 未加引号时，系统尝试执行：`C:\inetpub\wwwroot\InboxProcessor.exe` - 攻击者可以在该中间路径放置恶意可执行文件 2. **过度权限** - `BUILTIN\Users` 组具有读写 (RW) 权限 - 普通用户可以修改服务目录中的文件 3. **以最高权限运行** - 服务作为 `LocalSystem` 运行 - 如果提升成功，将获得系统的完全控制权 ## 📊 概念验证 ### 检测到的易受攻击配置 ``` C:\Users\efatura>sc qc InboxProcessor [SC] QueryServiceConfig SUCCESS SERVICE_NAME: InboxProcessor TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : InboxProcessor DEPENDENCIES : SERVICE_START_NAME : LocalSystem ### 权限分析 ```powershell C:\Users\efatura\Desktop>accesschk.exe /accepteula -uwdq "C:\inetpub\wwwroot\InboxProcessor\" Accesschk v6.15 - Reports effective permissions for securable objects Copyright (C) 2006-2022 Mark Russinovich Sysinternals - www.sysinternals.com C:\inetpub\wwwroot\InboxProcessor RW BUILTIN\Users ⚠️ CRÍTICO RW NT SERVICE\TrustedInstaller RW NT AUTHORITY\SYSTEM RW BUILTIN\Administrators ``` ## 🛠️ 解决方案与缓解措施 ### 先决条件 - 拥有 **管理员** 权限 - 以管理员身份运行的 **PowerShell** 终端 ### 步骤 1：为服务路径添加引号 运行以下命令为可执行文件路径添加引号： ``` sc.exe config InboxProcessor binPath= "`"C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe`"" ``` **⚠️ 注意：** `binPath=` 后面的空格是**必须的**。 ### 步骤 2：限制文件夹权限 移除普通用户组的过度权限： ``` # 定义文件夹路径 $path = "C:\inetpub\wwwroot\InboxProcessor" # 删除 Users 组的所有权限 icacls $path /remove "BUILTIN\Users" /t /c /l # 确保 Administrators 和 System 保持完全控制 icacls $path /grant "Administrators:(OI)(CI)F" /t icacls $path /grant "SYSTEM:(OI)(CI)F" /t ``` **参数说明：** - `/t` ：递归应用更改 - `/c` ：即使出现错误也继续 - `/l` ：在符号链接而非目标目录上操作 - `(OI)(CI)F` ：具有完全控制的权限继承 ### 步骤 3：最终验证 确认更改已正确应用： ``` # 验证路径现在是否已加引号 sc qc InboxProcessor # 验证 BUILTIN\Users 不再拥有 RW 权限 accesschk.exe /accepteula -uwdq "C:\inetpub\wwwroot\InboxProcessor\" ``` **预期结果：** - `BINARY_PATH_NAME` 应显示在引号中 - `BUILTIN\Users` 不应出现在权限列表中 ## 📦 软件更新 建议将 **NetBT e-Fatura 更新至 1.2.15 或更高版本**，该版本包含针对此漏洞的原生修复。 ### 更新步骤 1. 从以下地址下载最新版本：https://net-bt.com.tr/e-fatura/ 2. 备份当前配置 3. 运行更新安装程序 4. 重启服务 `InboxProcessor` ## 📚 参考资料 - **CVE Record:** https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-14018 - **CWE-428:** Unquoted Search Path or Element - **Vendor:** NetBT Consulting Services Inc. - **Créditos:** Seccops, Levent Sungu ## ✅ 安全检查清单 - [ ] 为服务路径添加引号 - [ ] 移除 `BUILTIN\Users` 的 RW 权限 - [ ] 验证仅 Administrators 和 SYSTEM 拥有访问权限 - [ ] 将 NetBT e-Fatura 更新至 v1.2.15+ - [ ] 重启 InboxProcessor 服务 - [ ] 进行补丁后安全审计 - [ ] 在变更日志中记录更改 ## ⚠️ 安全警告 该漏洞允许**以 LocalSystem 权限执行任意代码**。在生产环境中被视为**严重**风险。请立即应用补丁。 **最后更新时间：** 22/12/2025

标签：AI合规, CVE-2025-14018, CWE-428, Exploit, InboxProcessor, LocalSystem, NetBT e-Fatura, PoC, Unquoted Service Path, Web报告查看器, Windows Server, 协议分析, 提权, 数据展示, 暴力破解, 服务路径未引用, 本地提权, 权限提升, 权限绕过, 漏洞, 漏洞复现, 红队, 网络安全, 隐私保护