CVE-2020-36983: Quick 'n Easy FTP Service未引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2020-36983

漏洞类型

未引号服务路径漏洞（权限提升）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Quick 'n Easy FTP Service 3.2

漏洞概述

CVE-2020-36983是Quick 'n Easy FTP Service 3.2版本中发现的一个高危本地权限提升漏洞。该漏洞源于Windows服务路径配置缺陷，具体表现为服务可执行文件路径未使用引号包裹。当系统启动或服务重启时，Windows会按照路径空格分隔符依次查找并执行程序，攻击者可利用此特性在合法路径之前植入恶意可执行文件，从而以LocalSystem高权限在目标系统上执行任意代码。此漏洞CVSS评分达到7.8分，属于高危级别，攻击向量为本地，所需权限低，无需用户交互即可实现攻击。攻击成功后可完全控制目标系统，机密性、完整性和可用性均受到严重影响。建议受影响用户尽快采取修复措施，避免生产环境遭受恶意攻击。

技术细节

该漏洞的根本原因在于Windows服务配置中的路径解析机制。当一个服务的可执行文件路径包含空格且未使用双引号包裹时，Windows服务控制管理器(SCM)在启动服务时会从左到右解析路径，遇到空格时会在该位置查找同名的可执行文件。例如，如果服务路径为C:\Program Files\Quick 'n Easy FTP Service\ftpservice.exe，Windows会依次尝试执行C:\Program.exe、C:\Program Files\Quick.exe等。攻击者只需将恶意程序命名为Quick.exe并放置在C:\Program Files\目录下，即可在服务启动时以LocalSystem权限执行。由于FTP服务通常需要开机自启动，攻击者可在系统每次启动时获得持久化的高权限shell。该漏洞利用难度低，但危害极大，可导致目标系统完全沦陷。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标系统上安装的Quick 'n Easy FTP Service 3.2服务，并通过查询Windows注册表或使用系统工具（如sc qc）获取服务配置信息，确认服务路径是否包含空格且未使用引号包裹。

STEP 2

步骤2: 路径分析

攻击者分析服务可执行文件路径（如C:\Program Files\Quick 'n Easy FTP Service\ftpservice.exe），识别可被劫持的路径组件（如C:\Program Files\Quick.exe），确定恶意可执行文件的放置位置。

STEP 3

步骤3: 恶意程序植入

攻击者利用已获取的高权限（如通过其他漏洞或弱配置）将恶意可执行文件（命名为Quick.exe）写入C:\Program Files\目录，等待服务重启或系统启动时触发执行。

STEP 4

步骤4: 权限提升

当FTP服务启动或系统重启时，Windows服务控制管理器按照未加引号的路径查找可执行文件，首先找到攻击者植入的Quick.exe并以LocalSystem账户权限执行，从而实现权限提升。

STEP 5

步骤5: 持久化控制

恶意代码以系统最高权限执行后，攻击者可创建后门用户、植入Rootkit、窃取敏感数据或进一步横向移动，最终实现对目标系统的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2020-36983 PoC - Unquoted Service Path Privilege Escalation
# Target: Quick 'n Easy FTP Service 3.2
# Author: Security Researcher
# Note: Educational purposes only

import os
import shutil
import sys

def check_vulnerability():
    """Check if target service exists and is vulnerable"""
    service_name = "Quick 'n Easy FTP Service"
    # In real scenario, query Windows Registry for service configuration
    # HKLM\SYSTEM\CurrentControlSet\Services\<ServiceName>
    return True

def create_malicious_executable():
    """Generate malicious executable to place in unquoted path"""
    # This represents the attacker's payload
    # In production, this would be actual malicious code
    malicious_code = b'MZ' + b'\x00' * 100  # Minimal PE header placeholder
    
    # Attacker's payload location (C:\Program Files\Quick.exe)
    target_path = r'C:\Program Files\Quick.exe'
    
    try:
        # In real attack, write actual malicious executable
        # with open(target_path, 'wb') as f:
        #     f.write(malicious_code)
        print(f"[*] Would create malicious executable at: {target_path}")
        return True
    except PermissionError:
        print("[-] Insufficient privileges to write to target path")
        print("[*] This exploit requires administrator privileges")
        return False

def exploit():
    """Main exploitation logic"""
    if not check_vulnerability():
        print("[-] Target service not found or not vulnerable")
        return False
    
    print("[*] CVE-2020-36983 - Quick 'n Easy FTP Service Exploit")
    print("[*] Service path is unquoted, attempting privilege escalation...")
    
    if create_malicious_executable():
        print("[+] Malicious executable placed successfully")
        print("[*] Wait for service restart or system reboot")
        print("[*] Payload will execute with LocalSystem privileges")
        return True
    
    return False

if __name__ == "__main__":
    print("WARNING: This is for authorized security testing only")
    exploit()

影响范围

Quick 'n Easy FTP Service 3.2及之前版本

防御指南

临时缓解措施

在正式补丁发布前，可采取以下临时缓解措施：首先，立即检查并修复服务注册表中的ImagePath配置，为所有包含空格的服务路径添加双引号；其次，严格限制C:\Program Files等系统目录的写权限，移除普通用户和低权限服务账户的写入能力；最后，考虑暂时禁用FTP服务的自动启动，改为手动启动以减少攻击面，同时部署终端检测与响应(EDR)解决方案监控异常进程执行行为。