Plataforma
windows
Componente
worktime
Corrigido em
11.8.9
A vulnerabilidade CVE-2025-15561 representa uma elevação de privilégios no software WorkTime, afetando versões até 11.8.8. Um atacante pode explorar o comportamento de atualização do daemon de monitoramento WorkTime para obter privilégios de nível SYSTEM no sistema local. A correção oficial está pendente, exigindo medidas de mitigação imediatas para proteger os sistemas.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha controle total sobre o sistema afetado. Ao colocar um executável malicioso (WTWatch.exe) no diretório C:\ProgramData\wta\ClientExe, que é gravável por todos os usuários, o daemon de monitoramento WorkTime o executará com privilégios SYSTEM. Isso permite a execução de código arbitrário, a instalação de malware, o roubo de dados confidenciais e o acesso irrestrito a recursos do sistema. O impacto é severo, pois a obtenção de privilégios SYSTEM compromete a integridade e a confidencialidade de todo o sistema.
A vulnerabilidade CVE-2025-15561 foi publicada em 2026-02-19. Não há informações disponíveis sobre sua inclusão no KEV ou sobre a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a facilidade de exploração, com a necessidade apenas de um arquivo executável no local correto, sugere um risco potencial. A ausência de uma correção imediata aumenta a probabilidade de exploração futura.
Organizations using WorkTime for monitoring and management, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the C:\ProgramData\wta\ClientExe directory has overly permissive access controls are especially vulnerable. Environments with limited security monitoring or application whitelisting are also at increased risk.
• windows / supply-chain:
Get-ChildItem -Path "C:\ProgramData\wta\ClientExe" -Filter WTWatch.exe -Recurse• windows / supply-chain:
Get-Acl -Path "C:\ProgramData\wta\ClientExe"• windows / supply-chain:
Check Windows Defender for alerts related to suspicious processes running from C:\ProgramData\wta\ClientExe.
• windows / supply-chain:
Use Autoruns (Sysinternals) to check for any unusual entries related to WorkTime or WTWatch.exe.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve restringir o acesso de gravação ao diretório C:\ProgramData\wta\ClientExe. Isso pode ser feito através de permissões do sistema de arquivos, garantindo que apenas o usuário WorkTime tenha permissão de gravação. Além disso, monitore o diretório em busca de arquivos WTWatch.exe desconhecidos. Considere desabilitar temporariamente o serviço WorkTime se não for essencial, até que uma correção seja disponibilizada. Após a aplicação de qualquer mitigação, verifique as permissões do diretório e confirme que o serviço WorkTime está operando conforme o esperado.
Atualize WorkTime para uma versão posterior a 11.8.8. Isso resolverá a vulnerabilidade de escalada de privilégios local.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-15561 is a vulnerability in WorkTime versions up to 11.8.8 that allows an attacker to gain SYSTEM privileges by placing a malicious executable in a specific directory.
You are affected if you are using WorkTime version 11.8.8 or earlier. Check your installed version against the affected range to determine your risk.
Upgrade to a patched version of WorkTime as soon as it becomes available. Until then, restrict write access to the vulnerable directory and consider application whitelisting.
While no public exploits are currently known, the vulnerability's simplicity suggests a high likelihood of exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the WorkTime vendor's website and security advisory page for updates and official information regarding CVE-2025-15561.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.