## https://sploitus.com/exploit?id=51ADFA9D-0B00-5BCE-8851-8CFFEBAB5BEF
**CVE-2025-14018: NetBT e-Fatura Privilege Escalation Vulnerability**
## 📋 Información General
| Parámetro | Valor |
|-----------|-------|
| **CVE ID** | CVE-2025-14018 |
| **Tipo de Vulnerabilidad** | Escalada de Privilegios Local (Unquoted Service Path) |
| **CWE** | CWE-428 |
| **Producto Afectado** | NetBT e-Fatura |
| **Versiones Vulnerables** | sc qc InboxProcessor
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: InboxProcessor
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : InboxProcessor
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem
### Análisis de Permisos
```powershell
C:\Users\efatura\Desktop>accesschk.exe /accepteula -uwdq "C:\inetpub\wwwroot\InboxProcessor\"
Accesschk v6.15 - Reports effective permissions for securable objects
Copyright (C) 2006-2022 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\inetpub\wwwroot\InboxProcessor
RW BUILTIN\Users ⚠️ CRÍTICO
RW NT SERVICE\TrustedInstaller
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
```
---
## 🛠️ Solución y Mitigación
### Requisitos Previos
- Acceso con privilegios de **Administrador**
- Terminal de **PowerShell** ejecutada como Administrador
### Paso 1: Entrecomillar la Ruta del Servicio
Ejecuta el siguiente comando para añadir comillas a la ruta del ejecutable:
```powershell
sc.exe config InboxProcessor binPath= "`"C:\inetpub\wwwroot\InboxProcessor\Netbt.Inbox.Process.exe`""
```
**⚠️ Nota:** El espacio después de `binPath=` es **obligatorio**.
### Paso 2: Restringir Permisos de la Carpeta
Elimina los permisos excesivos del grupo de usuarios comunes:
```powershell
# Definir la ruta de la carpeta
$path = "C:\inetpub\wwwroot\InboxProcessor"
# Eliminar todos los permisos para el grupo de Usuarios comunes
icacls $path /remove "BUILTIN\Users" /t /c /l
# Asegurar que los Administradores y el Sistema mantengan el control total
icacls $path /grant "Administrators:(OI)(CI)F" /t
icacls $path /grant "SYSTEM:(OI)(CI)F" /t
```
**Explicación de parámetros:**
- `/t` : Aplica cambios de forma recursiva
- `/c` : Continúa incluso si hay errores
- `/l` : Trabaja en el enlace simbólico en lugar del destino
- `(OI)(CI)F` : Herencia de permisos con control total
### Paso 3: Verificación Final
Confirma que los cambios se aplicaron correctamente:
```powershell
# Verificar que la ruta ahora está entrecomillada
sc qc InboxProcessor
# Verificar que BUILTIN\Users ya no tiene permisos RW
accesschk.exe /accepteula -uwdq "C:\inetpub\wwwroot\InboxProcessor\"
```
**Resultado esperado:**
- `BINARY_PATH_NAME` debe aparecer entre comillas
- `BUILTIN\Users` no debe aparecer en la lista de permisos
---
## 📦 Actualización de Software
Se recomienda actualizar **NetBT e-Fatura a la versión 1.2.15 o superior**, que incluye correcciones nativas para esta vulnerabilidad.
### Pasos de Actualización
1. Descargar la última versión desde: https://net-bt.com.tr/e-fatura/
2. Realizar backup de la configuración actual
3. Ejecutar el instalador de actualización
4. Reiniciar el servicio `InboxProcessor`
---
## 📚 Referencias
- **CVE Record:** https://vulners.com/cve/CVE-2025-14018
- **CWE-428:** Unquoted Search Path or Element
- **Vendor:** NetBT Consulting Services Inc.
- **Créditos:** Seccops, Levent Sungu
---
## ✅ Checklist de Seguridad
- [ ] Entrecomillar la ruta del servicio
- [ ] Eliminar permisos RW de `BUILTIN\Users`
- [ ] Verificar que solo Administrators y SYSTEM tengan acceso
- [ ] Actualizar NetBT e-Fatura a v1.2.15+
- [ ] Reiniciar el servicio InboxProcessor
- [ ] Ejecutar auditoría de seguridad post-parche
- [ ] Documentar cambios en el registro de cambios
---
## ⚠️ Advertencia de Seguridad
Esta vulnerabilidad permite la **ejecución arbitraria de código con privilegios de LocalSystem**. Se considera un riesgo **crítico** en entornos de producción. Aplica los parches inmediatamente.
---
**Última actualización:** 22/12/2025