Elastic Defend 中的高危漏洞CVE-2025-37735

Elastic Defend是Elastic公司推出的端点安全防护解决方案，集成了EDR（端点检测与响应）、XDR（扩展检测与响应）和威胁防御功能。

一、基本情况

Elastic Defend是Elastic Security平台的核心组件，专注终端防护与威胁防御，实时检测、行为分析和主动防御能力，支持无限Agent部署。

Elastic Defend 集成EDR（端点检测与响应）能力，支持Windows、macOS、Linux，适用于混合云环境，支持第三方EDR工具数据整合。

栋科技漏洞库关注到在Windows主机上的Elastic Defend受影响版本中存在安全漏洞，漏洞追踪为CVE-2025-37735，CVSS 3.X评分 7.0。

二、漏洞分析

CVE-2025-37735漏洞是存在于在Windows主机上的 Elastic Defend 中的一个高危漏洞，可导致本地攻击者以SYSTEM权限删除任意文件。

官方公告指出，Windows 主机上 Elastic Defend 的权限保留不当问题可能导致系统任意文件被以 SYSTEM 权限运行的 Defend 服务删除。

具体来说，该漏洞存在于 Elastic Security 套件中端点保护组件 Elastic Defend中，漏洞的存在意味着某些情况下可能会导致本地特权升级。

也就说这意味着具有有限访问权限的本地攻击者可能利用该漏洞删除关键系统文件，将权限提升至 SYSTEM（Windows 最高访问级别）。

漏洞影响包括 8.x 和 9.x 版本多个产品线分支，在受影响环境中，Elastic Defend 的高权限服务可能被操纵删除普通用户无法修改的文件。

这使其成为强大本地权限提升（LPE）向量，在攻击者已通过其他漏洞或社会工程学手段入侵的环境中尤为危险，建议影响用户做好防范。

三、影响范围

Elastic Defend 8.x

Elastic Defend 9.x

四、修复建议

Elastic Defend >= 8.19.6

Elastic Defend >= 9.1.6

Elastic Defend >= 9.2.0

五、参考链接

管理员已设置登录后刷新可查看