CVE-2019-25568Memu Play 6.0.7版本存在严重的本地权限提升漏洞。该漏洞源于安装目录下的文件权限设置不安全,允许低权限用户对关键服务文件进行修改。攻击者可以利用此漏洞重命名并覆盖MemuService.exe可执行文件,植入恶意代码。一旦计算机重启或服务自动重启,该恶意文件将以SYSTEM权限运行,从而使攻击者获得系统的完全控制权。
该漏洞的核心原因在于Memu Play安装过程中未正确设置关键文件的访问控制列表(ACL)。具体来说,安装目录下的MemuService.exe文件赋予了所有用户(包括低权限用户)写入和修改的权限。这使得攻击者无需管理员权限即可将合法的MemuService.exe重命名为备份文件,并将自己编写的恶意可执行文件重命名为MemuService.exe。由于MemuService通常作为系统服务运行,其启动身份往往是LocalSystem或具有高权限的账户。当系统重启或服务被触发重启时,Windows服务管理器会加载并执行被替换的恶意MemuService.exe。此时,恶意代码继承SYSTEM上下文执行,从而实现从普通用户到SYSTEM权限的垂直权限提升。