CVE-2025-15561 描述了 WorkTime 监控守护程序中的一个权限提升漏洞。攻击者可以通过操纵守护程序的更新机制,在本地系统上将特权提升至最高级别(NT Authority\SYSTEM)。此漏洞影响 WorkTime 版本小于或等于 11.8.8 的系统。建议用户尽快采取缓解措施或升级到修复版本。
该漏洞的潜在影响非常严重。攻击者只需将名为 WTWatch.exe 的恶意可执行文件放置在 C:\ProgramData\wta\ClientExe 目录中(该目录对“Everyone”组具有写入权限),WorkTime 监控守护程序就会执行该文件,从而导致攻击者获得系统最高权限。这使得攻击者可以完全控制受影响的系统,包括安装恶意软件、窃取敏感数据、修改系统配置以及进行横向移动攻击。由于 WorkTime 守护程序通常以 SYSTEM 权限运行,因此该漏洞的利用可能导致整个网络受到威胁,造成广泛的破坏。
目前尚无公开的利用程序 (PoC),但该漏洞的严重性较高,且攻击向量相对简单,因此存在被利用的风险。该漏洞已于 2026-02-19 公开披露。CISA 尚未将其添加到 KEV 目录,但应密切关注其动态。由于该漏洞允许攻击者获得 SYSTEM 权限,因此其 EPSS 得分预计为中高。
Organizations using WorkTime for monitoring and management, particularly those with legacy configurations or shared hosting environments, are at risk. Systems where the C:\ProgramData\wta\ClientExe directory has overly permissive access controls are especially vulnerable. Environments with limited security monitoring or application whitelisting are also at increased risk.
• windows / supply-chain:
Get-ChildItem -Path "C:\ProgramData\wta\ClientExe" -Filter WTWatch.exe -Recurse• windows / supply-chain:
Get-Acl -Path "C:\ProgramData\wta\ClientExe"• windows / supply-chain:
Check Windows Defender for alerts related to suspicious processes running from C:\ProgramData\wta\ClientExe.
• windows / supply-chain:
Use Autoruns (Sysinternals) to check for any unusual entries related to WorkTime or WTWatch.exe.
disclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
为了缓解此漏洞,最有效的措施是限制对 C:\ProgramData\wta\ClientExe 目录的写入权限。建议将该目录的权限设置为仅允许 WorkTime 服务帐户进行写入。此外,应定期审查 WorkTime 的配置,确保其遵循安全最佳实践。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来监控和阻止对该目录的未经授权的访问。应密切监控系统日志,查找任何可疑活动,例如对该目录的意外写入尝试。
将 WorkTime 更新到 11.8.8 版本之后。这将会修复本地权限提升漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-15561 是 WorkTime 监控守护程序中的一个权限提升漏洞,攻击者可以通过操纵守护程序的更新机制,将特权提升至最高级别。
如果您正在使用 WorkTime 版本小于或等于 11.8.8,则可能受到此漏洞的影响。请立即检查您的 WorkTime 版本。
最有效的修复方法是限制对 C:\ProgramData\wta\ClientExe 目录的写入权限。建议将该目录的权限设置为仅允许 WorkTime 服务帐户进行写入。
目前尚无公开的利用程序,但由于漏洞的严重性,存在被利用的风险。
请访问 WorkTime 官方网站或查阅其安全公告页面,以获取有关此漏洞的官方信息。