CVE-2020-36938 WinAVR不安全的文件夹权限漏洞

漏洞信息

漏洞编号

CVE-2020-36938

漏洞类型

不安全的权限配置

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WinAVR

漏洞概述

CVE-2020-36938是WinAVR 20100110版本中存在的一个高危安全漏洞，该漏洞属于不安全的权限配置类型。WinAVR是一款广泛应用于嵌入式开发的开源工具链，主要用于AVR微控制器的C语言程序开发。漏洞的核心问题在于WinAVR安装目录及其子目录中的文件权限设置过于宽松，允许经过认证的低权限用户修改原本应该受到保护的系统文件和可执行文件。

具体而言，攻击者作为普通用户登录系统后，可以直接写入或修改WinAVR安装目录下的可执行文件（.exe）、动态链接库（.dll）以及其他关键组件。由于WinAVR通常以较高权限运行或者被其他特权程序调用，攻击者可以通过替换合法文件为恶意代码的方式实现权限提升。一旦攻击者成功修改了关键DLL或可执行文件，当系统或应用程序加载这些文件时，恶意代码将以相应的高权限执行，从而实现远程代码执行或进一步的攻击目的。

该漏洞的CVSS评分达到8.8分，属于高危级别。攻击向量为网络可利用（AV:N），攻击复杂度低（AC:L），需要低权限认证（PR:L），无需用户交互（UI:N），对机密性（C:H）、完整性（I:H）和可用性（A:H）都造成高影响。攻击者可以利用此漏洞完全控制受影响的系统，执行任意代码，安装程序，查看、修改或删除数据，甚至创建具有完全用户权限的新账户。

技术细节

该漏洞的技术根源在于Windows文件系统权限配置不当。WinAVR在安装过程中未正确设置目录和文件的访问控制列表（ACL），导致安装目录对所有经过认证的用户开放了写权限。这种不安全的默认配置违反了最小权限原则，使得普通用户可以修改本应仅由管理员或系统进程访问的文件。

漏洞利用的关键在于理解Windows DLL搜索顺序和程序加载机制。当应用程序加载DLL时，如果未指定完整路径，Windows会在预定义的搜索路径中查找DLL文件。攻击者可以将恶意DLL文件放置在WinAVR安装目录中，利用DLL侧加载（ DLL Side-Loading）技术，当WinAVR或相关程序启动时，加载攻击者植入的恶意DLL。由于WinAVR通常被IDE、编译器工具链或构建系统调用，恶意代码可以在这些程序的上下文中执行，从而获得相应的权限。

具体利用步骤包括：1）定位WinAVR安装目录；2）识别具有写权限的可执行文件和DLL；3）创建恶意DLL或替换现有文件；4）等待系统或用户触发程序执行；5）恶意代码在目标上下文中执行。此外，攻击者还可以直接替换WinAVR的工具链组件（如avr-gcc、avr-g++等），在编译过程中注入恶意代码到用户应用程序中，实现供应链攻击。

该漏洞影响WinAVR version 20100110及可能更早的版本。由于WinAVR项目已多年未更新，官方可能不会发布安全补丁，用户需要采取临时缓解措施或寻找替代方案。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标系统上安装的WinAVR版本（20100110），定位其安装目录路径

STEP 2

步骤2

权限检查：使用Windows icacls命令或PowerShell Get-Acl cmdlet检查WinAVR目录文件的访问控制权限，确认是否存在过度宽松的写权限

STEP 3

步骤3

恶意代码准备：攻击者准备恶意DLL文件或可执行文件，可以使用MSFVenom生成定制的payload，如meterpreter反向shell

STEP 4

步骤4

文件替换：利用不安全的文件权限，将WinAVR目录中的合法DLL（如avr-libc的核心库文件）替换为恶意DLL，或创建新的DLL利用DLL侧加载

STEP 5

步骤5

触发执行：等待系统事件或诱骗用户执行特定操作，触发WinAVR程序加载被植入的恶意DLL

STEP 6

步骤6

权限提升：恶意代码在WinAVR进程上下文中执行，由于WinAVR通常需要较高权限运行，攻击者实现权限提升

STEP 7

步骤7

持久化控制：建立持久化后门，维持长期访问权限，可以进一步进行横向移动或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2020-36938 PoC - WinAVR Insecure Permissions
This PoC demonstrates checking for insecure file permissions in WinAVR installation.
"""

import os
import sys
import subprocess
import ctypes
from pathlib import Path

def check_admin_privileges():
    """Check if running with administrator privileges"""
    try:
        is_admin = ctypes.windll.shell32.IsUserAnAdmin()
        return is_admin != 0
    except:
        return False

def find_winavr_installation():
    """Try to locate WinAVR installation directory"""
    possible_paths = [
        r"C:\WinAVR-20100110",
        r"C:\Program Files\WinAVR",
        r"C:\Program Files (x86)\WinAVR",
        os.path.expanduser("~\\WinAVR"),
    ]
    
    for path in possible_paths:
        if os.path.exists(path):
            return path
    return None

def check_file_permissions(file_path):
    """
    Check if a file has insecure permissions allowing modification by non-admin users.
    Uses Windows icacls command to check permissions.
    """
    try:
        # Get current ACLs for the file
        result = subprocess.run(
            ['icacls', file_path],
            capture_output=True,
            text=True,
            timeout=10
        )
        
        # Check if 'Everyone' or 'Users' group has write/modify permissions
        output = result.stdout.lower()
        
        # Look for problematic permissions
        insecure_indicators = ['(F)', '(M)', '(W)', '(D)']
        
        for indicator in insecure_indicators:
            if 'everyone' in output and indicator in output:
                return True, f"Everyone has {indicator} permission"
            if 'users' in output and indicator in output:
                return True, f"Users group has {indicator} permission"
        
        return False, "Permissions appear secure"
    except Exception as e:
        return None, f"Error checking permissions: {e}"

def scan_winavr_directory(winavr_path):
    """Scan WinAVR directory for files with insecure permissions"""
    vulnerable_files = []
    
    print(f"[*] Scanning WinAVR directory: {winavr_path}")
    
    # Target file extensions commonly exploited
    target_extensions = ['.exe', '.dll', '.bin', '.a', '.o']
    
    for root, dirs, files in os.walk(winavr_path):
        for filename in files:
            if any(filename.lower().endswith(ext) for ext in target_extensions):
                file_path = os.path.join(root, filename)
                is_vulnerable, details = check_file_permissions(file_path)
                
                if is_vulnerable:
                    print(f"[!] VULNERABLE: {file_path}")
                    print(f"    Details: {details}")
                    vulnerable_files.append({
                        'path': file_path,
                        'details': details
                    })
    
    return vulnerable_files

def main():
    print("=" * 60)
    print("CVE-2020-36938 PoC - WinAVR Insecure Folder Permissions")
    print("=" * 60)
    
    if not check_admin_privileges():
        print("[*] Note: Running as non-admin user")
        print("[*] This PoC will check if you can modify WinAVR files")
    else:
        print("[!] Warning: Running with admin privileges")
        print("[*] Results may not reflect actual vulnerability")
    
    winavr_path = find_winavr_installation()
    
    if not winavr_path:
        print("[-] WinAVR installation not found")
        print("[-] Please install WinAVR or update search paths")
        return
    
    print(f"[+] Found WinAVR at: {winavr_path}")
    
    vulnerable_files = scan_winavr_directory(winavr_path)
    
    print("\n" + "=" * 60)
    print(f"[*] Scan complete. Found {len(vulnerable_files)} vulnerable files.")
    
    if vulnerable_files:
        print("[!] System is VULNERABLE to CVE-2020-36938")
        print("[!] An attacker with low privileges can modify executable files")
        print("[!] This can lead to privilege escalation or remote code execution")
    else:
        print("[+] No obvious vulnerabilities found")
    
    print("=" * 60)

if __name__ == "__main__":
    main()

影响范围

WinAVR <= 20100110

防御指南

临时缓解措施

在官方补丁发布之前，建议立即采取以下临时缓解措施：首先，使用Windows内置的icacls工具重新配置WinAVR安装目录的访问权限，执行命令'icacls "C:\WinAVR-20100110" /inheritance:r /grant:r "Administrators:F" "SYSTEM:F" "Users:RX"'以移除普通用户的写权限；其次，部署文件系统完整性监控工具，当检测到WinAVR目录中的可执行文件或DLL被修改时立即告警；第三，限制对WinAVR安装目录的物理和网络访问，仅允许必要的开发人员访问；最后，考虑使用虚拟化技术隔离WinAVR环境，将其运行在受限的虚拟机中，防止潜在的权限提升攻击影响宿主机。