Plateforme
windows
Composant
worktime
Corrigé dans
11.8.9
La vulnérabilité CVE-2025-15561 est une faille d'escalade de privilèges affectant WorkTime, un logiciel de monitoring, jusqu'à la version 11.8.8. Un attaquant peut exploiter le comportement de mise à jour du démon de monitoring WorkTime pour obtenir des privilèges NT Authority\SYSTEM sur le système local. Cette vulnérabilité permet un contrôle total du système et nécessite le placement d'un exécutable malveillant nommé WTWatch.exe dans un répertoire accessible en écriture par tous les utilisateurs.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de s'emparer du contrôle total du système affecté. En plaçant un exécutable malveillant dans le répertoire C:\ProgramData\wta\ClientExe, l'attaquant peut forcer le démon de monitoring WorkTime à exécuter ce code avec les privilèges SYSTEM. Cela permet d'effectuer des actions telles que l'installation de logiciels malveillants, la modification de fichiers système, le vol de données sensibles et l'établissement d'une persistance sur le système. Le fait que le répertoire soit accessible en écriture par "Everyone" rend l'exploitation particulièrement simple et augmente considérablement la surface d'attaque. Cette vulnérabilité présente un risque élevé en raison de la facilité d'exploitation et de l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité du système.
La vulnérabilité CVE-2025-15561 a été rendue publique le 19 février 2026. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la nécessité de placer un fichier sur le système, mais la surface d'attaque est large. Aucun proof-of-concept public n'est connu à ce jour, mais la nature de la vulnérabilité suggère qu'un tel PoC pourrait être développé rapidement.
Organizations using WorkTime for monitoring and management, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the C:\ProgramData\wta\ClientExe directory has overly permissive access controls are especially vulnerable. Environments with limited security monitoring or application whitelisting are also at increased risk.
• windows / supply-chain:
Get-ChildItem -Path "C:\ProgramData\wta\ClientExe" -Filter WTWatch.exe -Recurse• windows / supply-chain:
Get-Acl -Path "C:\ProgramData\wta\ClientExe"• windows / supply-chain:
Check Windows Defender for alerts related to suspicious processes running from C:\ProgramData\wta\ClientExe.
• windows / supply-chain:
Use Autoruns (Sysinternals) to check for any unusual entries related to WorkTime or WTWatch.exe.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
La mitigation principale consiste à restreindre l'accès en écriture au répertoire C:\ProgramData\wta\ClientExe. Cela peut être réalisé en modifiant les permissions NTFS du répertoire pour n'autoriser que les utilisateurs et groupes nécessaires à l'exécution du démon WorkTime. En cas d'impossibilité de modifier les permissions immédiatement, une solution temporaire consiste à supprimer le répertoire (ce qui interrompra le fonctionnement de WorkTime) jusqu'à ce que la correction puisse être appliquée. Il est également recommandé de surveiller le répertoire pour détecter la présence d'exécutables suspects. Après l'application de la correction (restriction des permissions), vérifiez que le démon WorkTime fonctionne correctement et qu'il n'y a pas d'erreurs liées aux permissions.
Mettez à jour WorkTime à une version ultérieure à 11.8.8. Cela corrigera la vulnérabilité d'élévation de privilèges locale.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-15561 is a vulnerability in WorkTime versions up to 11.8.8 that allows an attacker to gain SYSTEM privileges by placing a malicious executable in a specific directory.
You are affected if you are using WorkTime version 11.8.8 or earlier. Check your installed version against the affected range to determine your risk.
Upgrade to a patched version of WorkTime as soon as it becomes available. Until then, restrict write access to the vulnerable directory and consider application whitelisting.
While no public exploits are currently known, the vulnerability's simplicity suggests a high likelihood of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the WorkTime vendor's website and security advisory page for updates and official information regarding CVE-2025-15561.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.