CVE-2020-36980: SAntivirus IC 未加引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2020-36980

漏洞类型

未加引号服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SAntivirus IC 10.0.21.61

漏洞概述

CVE-2020-36980是SAntivirus IC（Segurazo Antivirus）10.0.21.61版本中存在的一个高危本地权限提升漏洞。该漏洞的根本原因在于Windows服务配置中的可执行文件路径未使用引号包裹，导致路径解析存在歧义性问题。当Windows服务启动时，如果服务路径中没有正确使用引号，操作系统会按照空格分隔的路径逐级查找可执行文件。攻击者可以利用这一特性，通过在中间路径目录中植入恶意可执行文件，使服务在启动时错误地加载并执行攻击者的恶意代码。由于SAntivirus IC作为安全软件通常以SYSTEM高权限运行，攻击成功后可获得系统级完全控制权，实现从低权限用户到管理员甚至SYSTEM的权限提升。该漏洞需要攻击者具备本地访问权限，属于本地攻击向量，对机密性、完整性和可用性均造成严重影响。

技术细节

该漏洞属于Windows服务路径解析中的经典安全问题（Unquoted Service Path）。在Windows操作系统中，当服务配置的可执行文件路径包含空格但未使用引号包裹时，服务控制管理器（SCM）在尝试启动服务时会遇到路径解析歧义。例如，如果服务路径为C:\Program Files\SAntivirus IC\bin\SantivirusService.exe，Windows会首先尝试查找并执行C:\Program.exe，如果不存在则尝试C:\Program Files\SAntivirus.exe，依此类推，直到找到实际的可执行文件或确认路径无效。攻击者可以利用这一机制，在受影响的目录树下创建恶意的可执行文件（如Program.exe），当服务重启或系统启动时，SCM会优先执行攻击者植入的恶意程序。由于SAntivirus IC以SYSTEM权限运行，恶意代码同样以SYSTEM权限执行，从而实现权限提升。Metasploit框架中已集成针对此漏洞的利用模块（exploit/windows/local/unquoted_service_path），可自动化完成漏洞检测和利用过程。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标系统上安装的SAntivirus IC版本（10.0.21.61），并使用sc qc命令查询服务配置，获取BINARY_PATH_NAME路径信息

STEP 2

步骤2

漏洞确认：分析服务路径是否包含空格且未使用引号包裹（如C:\Program Files\SAntivirus IC\bin\SantivirusService.exe），确认存在未加引号服务路径漏洞

STEP 3

步骤3

恶意文件准备：攻击者在路径中的中间目录（如C:\Program Files\）下创建恶意的可执行文件（如Program.exe），文件内容为反向shell或远程控制木马

STEP 4

步骤4

触发执行：等待服务重启、系统更新或其他触发条件，或使用系统管理员权限主动重启SAntivirus IC服务

STEP 5

步骤5

权限提升：当服务启动时，Windows SCM按空格分隔逐级查找可执行文件，会优先执行攻击者植入的Program.exe，恶意代码以SYSTEM高权限执行

STEP 6

步骤6

持久化控制：攻击者成功获得系统级完全控制权，可部署后门、窃取敏感数据、安装更多恶意软件或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2020-36980 PoC - SAntivirus IC Unquoted Service Path
Checks if the SAntivirus IC service has an unquoted path vulnerability.
Note: This is for educational and authorized testing purposes only.
"""

import subprocess
import sys
import os

def check_unquoted_service_path(service_name):
    """
    Check if a Windows service has an unquoted executable path.
    Returns True if vulnerable (unquoted path with spaces), False otherwise.
    """
    try:
        result = subprocess.run(
            ['sc', 'qc', service_name],
            capture_output=True,
            text=True
        )
        
        output = result.stdout
        
        # Look for BINARY_PATH_NAME in the output
        for line in output.split('\n'):
            if 'BINARY_PATH_NAME' in line:
                path = line.split(':', 1)[1].strip()
                print(f"Service path: {path}")
                
                # Check if path contains spaces and is not quoted
                has_spaces = any(space in path for space in ['Program Files', 'Program Files (x86)', 'Documents and Settings'])
                is_quoted = path.startswith('"') or path.startswith("'")
                
                if has_spaces and not is_quoted:
                    print(f"[!] VULNERABLE: Path contains spaces but is not quoted!")
                    print(f"[*] An attacker could place a malicious executable in an intermediate directory")
                    return True
                else:
                    print(f"[+] NOT VULNERABLE: Path is properly quoted or has no spaces")
                    return False
        
        print(f"[-] Service '{service_name}' not found or no path information available")
        return False
        
    except Exception as e:
        print(f"[-] Error checking service: {e}")
        return False

def main():
    # Target service name for SAntivirus IC
    service_name = "SantivirusIC"  # Common service name, may vary
    
    print("=" * 60)
    print("CVE-2020-36980 - SAntivirus IC Unquoted Service Path Check")
    print("=" * 60)
    
    # Check the service
    is_vulnerable = check_unquoted_service_path(service_name)
    
    print("\n" + "=" * 60)
    if is_vulnerable:
        print("RESULT: Target is VULNERABLE to CVE-2020-36980")
        print("An attacker with local access can escalate privileges to SYSTEM")
    else:
        print("RESULT: Target appears NOT vulnerable")
    print("=" * 60)
    
    return 0 if not is_vulnerable else 1

if __name__ == "__main__":
    sys.exit(main())

影响范围

SAntivirus IC 10.0.21.61

防御指南

临时缓解措施

在厂商发布修复补丁之前，可通过以下临时缓解措施降低风险：1）使用subinacl.msc或其他工具手动修改服务配置，为BINARY_PATH_NAME添加引号包裹；2）修改服务路径中中间目录的权限，移除Users组的写入权限；3）禁用SAntivirus IC服务的自动启动，改为手动启动以减少被利用的机会；4）部署EDR解决方案监控svchost.exe和可疑进程的父子关系；5）考虑使用虚拟机隔离或卸载存在漏洞的SAntivirus IC软件，改用其他经过安全审计的替代产品。