Share
## https://sploitus.com/exploit?id=51ADFA9D-0B00-5BCE-8851-8CFFEBAB5BEF
**CVE-2025-14018: NetBT e-Fatura Privilege Escalation Vulnerability**

## 📋 Información General

| Parámetro | Valor |
|-----------|-------|
| **CVE ID** | CVE-2025-14018 |
| **Tipo de Vulnerabilidad** | Escalada de Privilegios Local (Unquoted Service Path) |
| **CWE** | CWE-428 |
| **Producto Afectado** | NetBT e-Fatura |
| **Versiones Vulnerables** | sc qc InboxProcessor
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: InboxProcessor
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : InboxProcessor
        DEPENDENCIES       :
        SERVICE_START_NAME : LocalSystem
### Análisis de Permisos

```powershell
C:\Users\efatura\Desktop>accesschk.exe /accepteula -uwdq "C:\inetpub\wwwroot\InboxProcessor\"

Accesschk v6.15 - Reports effective permissions for securable objects
Copyright (C) 2006-2022 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\inetpub\wwwroot\InboxProcessor
  RW BUILTIN\Users                    ⚠️ CRÍTICO
  RW NT SERVICE\TrustedInstaller
  RW NT AUTHORITY\SYSTEM
  RW BUILTIN\Administrators
```

---

## 🛠️ Solución y Mitigación

### Requisitos Previos
- Acceso con privilegios de **Administrador**
- Terminal de **PowerShell** ejecutada como Administrador

### Paso 1: Entrecomillar la Ruta del Servicio

Ejecuta el siguiente comando para añadir comillas a la ruta del ejecutable:

```powershell
sc.exe config InboxProcessor binPath= "`"C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe`""
```

**⚠️ Nota:** El espacio después de `binPath=` es **obligatorio**.

### Paso 2: Restringir Permisos de la Carpeta

Elimina los permisos excesivos del grupo de usuarios comunes:

```powershell
# Definir la ruta de la carpeta
$path = "C:\inetpub\wwwroot\InboxProcessor"

# Eliminar todos los permisos para el grupo de Usuarios comunes
icacls $path /remove "BUILTIN\Users" /t /c /l

# Asegurar que los Administradores y el Sistema mantengan el control total
icacls $path /grant "Administrators:(OI)(CI)F" /t
icacls $path /grant "SYSTEM:(OI)(CI)F" /t
```

**Explicación de parámetros:**
- `/t` : Aplica cambios de forma recursiva
- `/c` : Continúa incluso si hay errores
- `/l` : Trabaja en el enlace simbólico en lugar del destino
- `(OI)(CI)F` : Herencia de permisos con control total

### Paso 3: Verificación Final

Confirma que los cambios se aplicaron correctamente:

```powershell
# Verificar que la ruta ahora está entrecomillada
sc qc InboxProcessor

# Verificar que BUILTIN\Users ya no tiene permisos RW
accesschk.exe /accepteula -uwdq "C:\inetpub\wwwroot\InboxProcessor\"
```

**Resultado esperado:**
- `BINARY_PATH_NAME` debe aparecer entre comillas
- `BUILTIN\Users` no debe aparecer en la lista de permisos

---

## 📦 Actualización de Software

Se recomienda actualizar **NetBT e-Fatura a la versión 1.2.15 o superior**, que incluye correcciones nativas para esta vulnerabilidad.

### Pasos de Actualización

1. Descargar la última versión desde: https://net-bt.com.tr/e-fatura/
2. Realizar backup de la configuración actual
3. Ejecutar el instalador de actualización
4. Reiniciar el servicio `InboxProcessor`

---

## 📚 Referencias

- **CVE Record:** https://vulners.com/cve/CVE-2025-14018
- **CWE-428:** Unquoted Search Path or Element
- **Vendor:** NetBT Consulting Services Inc.
- **Créditos:** Seccops, Levent Sungu

---

## ✅ Checklist de Seguridad

- [ ] Entrecomillar la ruta del servicio
- [ ] Eliminar permisos RW de `BUILTIN\Users`
- [ ] Verificar que solo Administrators y SYSTEM tengan acceso
- [ ] Actualizar NetBT e-Fatura a v1.2.15+
- [ ] Reiniciar el servicio InboxProcessor
- [ ] Ejecutar auditoría de seguridad post-parche
- [ ] Documentar cambios en el registro de cambios

---

## ⚠️ Advertencia de Seguridad

Esta vulnerabilidad permite la **ejecución arbitraria de código con privilegios de LocalSystem**. Se considera un riesgo **crítico** en entornos de producción. Aplica los parches inmediatamente.

---

**Última actualización:** 22/12/2025