美国CERT协调中心（CERT/CC）近日发布漏洞通告，披露了Lakeside Software开发的广泛部署终端监控工具SysTrack中存在一个严重的权限提升漏洞。该漏洞编号为CVE-2025-6241，攻击者可借此以SYSTEM级权限执行任意代码，从而可能导致整个企业环境遭到全面入侵。

SysTrack是Lakeside数字化员工体验平台的重要组成部分，旨在深入分析终端健康状况和用户生产力。其中一个核心组件LsiAgent.exe在系统启动时以SYSTEM账户运行，用于收集遥测信息和状态数据。

根据报告，LsiAgent.exe会尝试从System PATH环境变量中列出的任意位置加载名为wfapi.dll的动态链接库（DLL）文件，这一设计如果缺乏安全检查，将极具风险。
CERT/CC指出：“程序未正确校验DLL文件加载来源，攻击者可以通过投放恶意DLL文件获得代码执行权限。”

这种漏洞类型被称为DLL劫持（DLL Hijacking）漏洞，在本案例中，它会导致本地权限提升（LPE）。

漏洞的利用方式主要有两种：

1. PATH路径DLL注入

攻击者只要拥有系统PATH变量中任意目录的写入权限，就可以放置一个恶意的wfapi.dll文件。当LsiAgent.exe在系统启动或用户操作时运行时，它会在不知情的情况下加载并执行该恶意DLL，且具备SYSTEM级权限。

2. 捆绑DLL攻击

另一种方式是攻击者分发重新打包的LsiAgent.exe，并将恶意DLL文件一并包含在其中。如果用户运行该可执行文件，捆绑的DLL就会被加载，再次获得完整的系统访问权限。
CERT/CC强调：“当受害者运行看似安全的LsiAgent.exe时，恶意DLL会被执行。”

该漏洞的潜在危害极其严重。由于该进程以NT AUTHORITY\SYSTEM权限运行且由Lakeside Software签名，任何利用该漏洞进行的恶意行为都会看似来自可信来源。

这意味着攻击者可实现完全接管系统、凭据窃取、横向移动，甚至部署勒索软件，尤其是在SysTrack广泛应用于成百上千终端的企业环境中，风险更为放大。

受影响的版本为SysTrack 10.05.0027，漏洞已在10.10.0.42及以上版本中修复。Lakeside Software已发布修复补丁，更新的二进制文件通过实现更严格的路径验证，解决了不安全的DLL加载行为。