CVE-2025-15553 Truesec LAPSWebUI 本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-15553

漏洞类型

会话管理漏洞/不安全的注销功能

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Truesec LAPSWebUI

漏洞概述

CVE-2025-15553是Truesec公司LAPS（本地管理员密码解决方案）Web界面中的一个高危安全漏洞。该漏洞存在于LAPSWebUI 2.4之前版本中，由于注销功能存在缺陷，攻击者可以在获得工作站本地访问权限后，通过未正确终止的会话获取本地管理员密码，从而实现权限提升。CVSS评分7.1，属于高危级别，攻击向量为本地，攻击复杂度低，需要低权限，无需用户交互。机密性和完整性影响均为高，但可用性无影响。此漏洞特别危险，因为LAPS解决方案本身就是为了保护本地管理员密码而设计的，而该漏洞直接绕过了这一安全机制，攻击者可以利用获取的管理员密码完全控制目标工作站，执行任意操作、安装恶意软件或横向移动到网络中的其他系统。

技术细节

漏洞根源在于LAPSWebUI的会话管理机制存在缺陷。当用户点击注销按钮时，系统未能正确清除会话令牌和敏感凭据信息。具体来说，即使会话被终止，之前存储在内存或本地存储中的本地管理员密码仍然可以被访问。攻击者利用这一点，需要先获得目标工作站的物理访问权限或通过其他方式获取本地shell访问。获得本地访问后，攻击者可以检查浏览器进程内存或利用未正确清理的会话数据，重建与LAPSWebUI的认证上下文，从而获取明文的本地管理员密码。由于LAPSWebUI使用该密码与Active Directory交互以验证密码更改或检索密码历史，因此攻击者可以提取这些敏感信息。攻击成功的关键条件是目标系统必须配置了LAPS且运行了LAPSWebUI服务。

攻击链分析

STEP 1

步骤1

攻击者获得目标工作站的本地访问权限（物理访问或通过其他漏洞获取shell）

STEP 2

步骤2

攻击者访问运行中的LAPSWebUI应用，检查浏览器进程或本地存储中的会话数据

STEP 3

步骤3

由于注销功能缺陷，敏感凭据信息未被正确清除，仍然存在于内存或本地存储中

STEP 4

步骤4

攻击者提取并读取本地管理员密码，该密码以明文或可解密形式缓存

STEP 5

步骤5

攻击者使用获取的管理员密码登录目标系统，获得最高本地权限

STEP 6

步骤6

完成权限提升后，攻击者可以执行任意操作、安装恶意软件或进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-15553 PoC - Truesec LAPSWebUI Insecure Logout
# This PoC demonstrates the session handling vulnerability

import json
import os
import sys

def exploit_lapswebui():
    """
    Exploitation steps for CVE-2025-15553:
    1. Gain local access to the workstation
    2. Identify LAPSWebUI running processes
    3. Extract session data from memory
    4. Retrieve cached admin credentials
    """
    print("[*] CVE-2025-15553 - Truesec LAPSWebUI Exploitation")
    print("[*] Target: Truesec LAPSWebUI < 2.4")
    
    # Step 1: Check if LAPSWebUI is installed
    laps_paths = [
        r"C:\Program Files\Truesec\LAPSWebUI",
        r"C:\Program Files (x86)\Truesec\LAPSWebUI"
    ]
    
    for path in laps_paths:
        if os.path.exists(path):
            print(f"[+] Found LAPSWebUI at: {path}")
    
    # Step 2: Analyze browser session storage
    session_storage = os.path.expanduser("~") + r"\AppData\Local\Google\Chrome\User Data\Default\Local Storage"
    
    # Step 3: Extract credentials (simulated)
    print("[*] Searching for cached LAPS credentials...")
    print("[*] Session not properly invalidated after logout")
    print("[+] Admin password retrieved: [REDACTED]")
    
    return True

if __name__ == "__main__":
    exploit_lapswebui()

影响范围

Truesec LAPSWebUI < 2.4

防御指南

临时缓解措施

立即将Truesec LAPSWebUI升级到2.4版本或应用最新安全补丁。在等待更新期间，应限制对运行LAPSWebUI工作站的物理访问，启用审计日志记录所有LAPS密码访问尝试，并考虑使用额外的端点保护措施监控异常进程行为。建议同时审查LAPS权限配置，确保只有授权用户可以访问密码管理功能。