CVE-2020-37231 CVSS 7.8 高危

CVE-2020-37231 Privacy Drive权限提升漏洞

披露日期: 2026-05-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2020-37231

漏洞类型

权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Privacy Drive

漏洞概述

Privacy Drive 3.17.0版本存在未引用服务路径漏洞。该漏洞源于pdsvc.exe服务路径未加引号，允许本地攻击者利用服务启动过程进行提权。攻击者可在路径目录中放置恶意可执行文件，在服务启动或系统重启时以LocalSystem权限执行任意代码。

技术细节

该漏洞属于典型的Windows服务未引用路径漏洞。当服务可执行文件路径包含空格且未被引号括起时，操作系统在解析路径时会产生歧义。在Privacy Drive 3.17.0中，pdsvc.exe服务的ImagePath未加引号。本地低权限攻击者可利用此缺陷，在路径分割点对应的目录（如C:\Program.exe或C:\Program Files.exe）中植入恶意可执行文件。当服务尝试启动或系统重启时，服务管理器会错误地优先执行攻击者放置的文件，而非原本的服务程序。由于服务默认以LocalSystem权限运行，这将导致恶意代码获得系统最高控制权，实现本地权限提升。

攻击链分析

STEP 1

侦察

攻击者枚举系统服务，发现Privacy Drive的pdsvc.exe服务路径包含空格且未被引号括起。

STEP 2

武器化

攻击者准备一个恶意的可执行文件（如反弹Shell木马），旨在获取系统最高权限。

STEP 3

投递

攻击者利用低权限账户，在服务路径的空格分割点处（例如C:\Program.exe）放置恶意文件。

STEP 4

利用

触发服务启动、重启或等待系统重启。Windows服务管理器尝试启动服务时，会错误地执行攻击者放置的恶意文件。

STEP 5

权限提升

恶意代码以LocalSystem权限运行，攻击者成功获得系统完全控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2020-37231
# This script demonstrates the vulnerability check logic.
# An attacker would place a malicious executable at the vulnerable path.

import os
import sys

def check_unquoted_service_path():
    # Simulating the vulnerable service path found in Privacy Drive 3.17.0
    # Example path: C:\Program Files\Cybertron\Privacy Drive\pdsvc.exe
    service_path = r"C:\Program Files\Cybertron\Privacy Drive\pdsvc.exe"
    
    print(f"[*] Checking service path: {service_path}")
    
    # Check if path contains spaces and is not quoted
    if " " in service_path and not (service_path.startswith('"') and service_path.endswith('"')):
        print("[+] Vulnerable: Unquoted service path detected!")
        
        # Identify potential drop locations for the exploit
        parts = service_path.split('\\')
        current_path = ""
        
        print("[*] Potential exploitation points:")
        for i in range(len(parts) - 1):
            current_path += parts[i] + "\\"
            # Remove trailing slash for filename construction
            exe_path = current_path.rstrip('\\') + ".exe"
            print(f"    - {exe_path}")
            
        # In a real attack, an attacker would copy a malicious payload
        # to one of these locations (e.g., C:\Program.exe)
        # and wait for the service to restart or the system to reboot.
    else:
        print("[-] Service path appears safe.")

if __name__ == "__main__":
    check_unquoted_service_path()

影响范围

Privacy Drive 3.17.0

防御指南

临时缓解措施

建议立即升级Privacy Drive至最新版本。若无法升级，应手动打开服务管理器(services.msc)，找到Privacy Drive相关服务，将“可执行文件的路径”加上双引号（例如 "C:\Program Files\...\pdsvc.exe"），并重启服务以生效。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表