DriveLock 目录遍历漏洞暴露敏感系统信息

执行摘要

DriveLock 终端安全平台中的一个目录遍历漏洞，跟踪编号为 CVE-2026-5492，允许经过认证的攻击者读取底层 Windows 系统上的任意文件。根据 Zero Day Initiative (ZDI) 发出的通告，该漏洞是由用户路径遍历序列（../）未能得到适当验证引起的。成功利用可能导致敏感操作系统文件、应用程序配置或其他数据的泄露，CVSS v3.1 基础得分为 6.5（中等严重性）。

技术分析

该漏洞存在于 DriveLock 的文件处理机制中。根据 ZDI 的技术文档，软件未能充分清理特定功能中用户输入的数据，该功能旨在检索文件信息。拥有有效认证的攻击者可以提交包含目录遍历序列的精心构造请求（例如 ../../windows/system32/config/SAM）。然后应用程序将这个未经清理的输入与基本路径连接起来，允许攻击者突破预期目录并从 DriveLock 服务账户可以访问的任何位置读取文件。

该缺陷被归类为信息披露漏洞。虽然利用需要攻击者拥有有效凭证，但影响是未经授权访问本应受限的文件。可以访问的具体文件将取决于运行 DriveLock 应用程序的服务账户的权限，该账户通常在 Windows 系统上以 SYSTEM 或另一个特权账户运行。这可能允许访问关键系统文件、安全账户管理器（SAM）中的密码哈希或其他可能促进进一步攻击的敏感配置数据。

入侵指标

目前没有识别出任何入侵指标。该漏洞是应用程序本身的逻辑缺陷，不涉及恶意软件或已知的恶意负载。检测将依赖于监控异常文件访问模式或 DriveLock 服务进程对敏感系统目录的意外读取请求。

战术、技术与程序

根据 ZDI 通告，主要采用的技术将是 T1552.001: 未加密凭证 - 文件中的凭证，因为攻击者可以利用这个漏洞搜索并提取存储的凭证。初始访问向量先决条件是 T1078: 有效账户，因为需要认证才能触发漏洞功能。这种利用与更广泛的 TA0006: 凭证访问 战术相一致。

威胁行为者背景

在 ZDI 发布时，没有证据表明在野外有活跃的利用。该漏洞由 ZDI 负责任地披露给供应商，并已发布补丁。这个缺陷对于已经在网络上获得立足点并获得 DriveLock 用户账户凭证的威胁行为者最具吸引力，可能使用它进行横向移动和权限提升，通过从被破坏的系统中收集凭证。

缓解措施与建议

主要的缓解措施是应用供应商提供的安全更新。使用受影响软件的组织应优先打补丁，特别是在服务器和管理控制台上。作为打补丁之前的权宜之计，网络管理员应限制对 DriveLock 管理接口的访问，只允许受信任的、必要的用户，并实施严格的网络分段。此外，坚持所有服务账户的最小权限原则可以帮助限制如果这个或类似漏洞被利用的潜在损害。