CVE-2025-61161CVE-2025-61161是Evope Collector软件中的一个高危DLL劫持漏洞,CVSS评分8.4。该漏洞存在于Evope Service服务(Evope.Service.exe)中,该服务以SYSTEM高权限运行。漏洞的根本原因在于程序从不安全且不受控的搜索路径(C:\ProgramData\Evope)加载wtsapi32.dll动态链接库,而该路径通常允许本地普通用户写入文件。攻击者利用这一特性,在该路径下植入精心构造的恶意DLL文件,当服务启动或重启时,恶意DLL将被加载并以SYSTEM权限执行,从而实现任意代码执行和本地权限提升。此漏洞无需认证和用户交互即可利用,但属于本地攻击向量,攻击者需要已经在目标系统上拥有低权限代码执行能力。
Evope Service服务在启动过程中调用Windows API LoadLibrary加载wtsapi32.dll时,采用默认的DLL搜索顺序:首先搜索应用程序所在目录,然后搜索当前工作目录,最后搜索系统目录。由于C:\ProgramData\Evope目录对本地普通用户具有写权限,攻击者可以在该目录放置同名恶意DLL(wtsapi32.dll)。当Evope.Service.exe以SYSTEM权限运行时加载此恶意DLL,将导致恶意代码在SYSTEM上下文中执行。攻击者通常会在恶意DLL的DllMain或导出函数中实现代码执行逻辑,如启动高权限cmd.exe shell或下载执行额外恶意载荷。由于程序未使用安全DLL加载机制(如SetDllDirectory指定绝对路径或使用绝对路径加载),导致搜索路径被滥用形成DLL劫持攻击面。