CVE-2020-37232 Advanced System Care服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2020-37232

漏洞类型

权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Advanced System Care Service

漏洞概述

Advanced System Care Service 13.0.0.157版本存在严重的未引用服务路径漏洞。由于“AdvancedSystemCareService13”服务的二进制路径包含空格且未使用引号包裹，本地攻击者可以在系统根目录中放置恶意可执行文件。一旦服务启动或系统重启，该恶意文件将以LocalSystem最高权限运行，从而导致本地权限提升。

技术细节

该漏洞利用了Windows系统解析服务路径时的机制缺陷。当服务路径包含空格但未被引号包裹时（例如路径为 C:\Program Files\IObit\service.exe），Windows服务管理器（SCM）会尝试在遇到第一个空格时停止解析并执行文件，即首先尝试执行 C:\Program.exe。攻击者首先需要具备本地低权限用户访问权限，随后在C盘根目录下放置名为“Program.exe”的恶意可执行文件。当受影响的Advanced System Care服务启动或系统重启时，SCM会错误地调用攻击者放置的 C:\Program.exe。由于该服务默认以LocalSystem（系统最高权限）身份运行，恶意程序随之获得完全控制权，从而实现从低权限用户到系统管理员的权限提升。

攻击链分析

STEP 1

侦察

攻击者确认目标系统上安装了存在漏洞的Advanced System Care Service 13版本，并检查服务路径是否包含空格且未加引号。

STEP 2

武器化

攻击者准备一个恶意的可执行文件（如反弹Shell木马），并将其重命名为“Program.exe”。

STEP 3

投递

攻击者利用低权限账户，将恶意文件“Program.exe”放置在系统根目录（如C:\）下。

STEP 4

利用

等待服务重启或系统重启。Windows服务管理器在启动服务时，错误地将“C:\Program.exe”作为服务进程执行。

STEP 5

权限提升

恶意文件以LocalSystem权限运行，攻击者获得系统最高控制权，完成权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2020-37232
# This script demonstrates how to identify the unquoted service path vulnerability.

import os
import subprocess

def check_unquoted_service_path():
    service_name = "AdvancedSystemCareService13"
    
    print(f"[*] Checking service: {service_name}")
    
    try:
        # Query service configuration using sc.exe
        result = subprocess.check_output(f"sc qc {service_name}", shell=True, text=True)
        print("\n--- Service Configuration ---")
        print(result)
        print("--------------------------")
        
        # Check for BINARY_PATH_NAME
        if "BINARY_PATH_NAME" in result:
            path_line = [line for line in result.split('\n') if "BINARY_PATH_NAME" in line]
            if path_line:
                path = path_line[0].split(":")[1].strip()
                print(f"[+] Binary Path: {path}")
                
                # Check if path contains spaces and is not quoted
                if " " in path and not path.startswith('"'):
                    print("[!] VULNERABILITY DETECTED: Path contains spaces and is unquoted.")
                    print("[!] Exploitation: Create a malicious file named 'Program.exe' in C:\ to gain SYSTEM privileges.")
                else:
                    print("[-] Path is quoted or does not contain spaces. Not vulnerable via this vector.")
    except subprocess.CalledProcessError:
        print(f"[-] Could not query service {service_name}. It may not be installed.")

if __name__ == "__main__":
    check_unquoted_service_path()

影响范围

Advanced System Care Service 13.0.0.157

防御指南

临时缓解措施

建议用户立即升级Advanced System Care至最新版本以修复此漏洞。如果无法立即升级，用户可以通过Windows服务管理器（services.msc）找到“AdvancedSystemCareService13”服务，将其“可执行文件的路径”用双引号括起来，并重启服务或系统以生效。此外，应确保系统根目录（如C:\）的写入权限受到严格限制，防止低权限用户写入文件。