CVE-2025-12247: Hasleo Backup Suite 未引用服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-12247

漏洞类型

未引用服务路径漏洞

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Hasleo Backup Suite

漏洞概述

CVE-2025-12247是Hasleo Backup Suite软件中的一个未引用服务路径（Unquoted Service Path）漏洞。该漏洞存在于HasleoImageMountService和HasleoBackupSuiteService服务组件中。由于服务路径未使用引号包裹，攻击者可以通过在系统路径中植入恶意可执行文件来实现权限提升。本地攻击者可以利用此漏洞将普通用户权限提升至系统级别，从而完全控制受影响的主机。该漏洞的CVSS评分为7.0，属于高危级别。攻击复杂度较高，但漏洞利用代码已公开，理论上可被恶意利用。建议用户尽快升级到最新版本以修复此安全问题。

技术细节

未引用服务路径漏洞是一种常见的Windows本地权限提升漏洞。当Windows服务配置的可执行文件路径包含空格且未使用引号包裹时，操作系统会从左到右依次查找可执行文件。例如，如果服务路径为C:\Program Files\Hasleo Backup Suite\bin\service.exe，系统会首先尝试执行C:\Program.exe，然后是C:\Program Files\Hasleo.exe，依此类推，直到找到实际的可执行文件。攻击者可以将恶意可执行文件（如Program.exe）放置在C:\根目录，当服务启动时，恶意程序将以SYSTEM权限执行。在CVE-2025-12247中，HasleoImageMountService和HasleoBackupSuiteService服务存在此问题，攻击者需要预先在目标系统上放置恶意文件，然后等待服务重启或系统重启即可触发漏洞利用。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标系统中安装的Hasleo Backup Suite版本，确认服务名称为HasleoImageMountService和HasleoBackupSuiteService

STEP 2

路径分析

通过sc qc命令查询服务配置，检查BINARY_PATH_NAME是否包含未引号包裹的路径，特别是包含空格的路径

STEP 3

恶意文件植入

攻击者将恶意可执行文件（如Program.exe）放置在服务路径中适当位置，利用Windows路径解析顺序使其被优先执行

STEP 4

触发漏洞

等待服务重启、系统重启或通过特定操作触发Hasleo服务重启，恶意程序将以SYSTEM权限执行

STEP 5

权限维持

成功执行恶意代码后，攻击者可建立后门、窃取敏感数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12247 PoC - Unquoted Service Path
# Target: HasleoImageMountService / HasleoBackupSuiteService
# This PoC demonstrates the vulnerability concept

import os
import subprocess

def check_unquoted_path():
    """Check if Hasleo services have unquoted paths"""
    try:
        # Query Windows services for Hasleo
        result = subprocess.check_output(
            ['sc', 'qc', 'HasleoImageMountService'],
            stderr=subprocess.STDOUT,
            text=True
        )
        print(result)
        
        # Check for unquoted paths with spaces
        if 'BINARY_PATH_NAME' in result:
            lines = result.split('\n')
            for line in lines:
                if 'BINARY_PATH_NAME' in line and '"' not in line:
                    print('[+] Unquoted service path detected!')
                    return True
        return False
    except Exception as e:
        print(f'Error: {e}')
        return False

# Note: Actual exploitation requires placing malicious executable
# in appropriate directory with SYSTEM privileges

影响范围

Hasleo Backup Suite < 5.3

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1）检查并确保系统关键目录（如C:\）无写入权限，限制普通用户在其中创建可执行文件；2）使用Windows内置工具检查服务路径配置，对包含空格且未加引号的服务路径进行手动修复；3）监控Hasleo相关服务的启动日志，及时发现异常执行行为；4）考虑暂时禁用Hasleo Backup Suite相关服务，待官方发布修复版本后再恢复使用。