CVE-2022-50808 CoolerMaster MasterPlus MPService未引号服务路径漏洞

漏洞信息

漏洞编号

CVE-2022-50808

漏洞类型

未引号服务路径漏洞

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CoolerMaster MasterPlus

漏洞概述

CVE-2022-50808是CoolerMaster（酷冷至尊）MasterPlus软件1.8.5版本中存在的一个高危安全漏洞。该漏洞位于MPService服务中，属于未引号服务路径（Unquoted Service Path）漏洞类型。攻击者可以利用该漏洞在本地以提升的系统权限执行任意代码，成功利用后可获得管理员权限，完全控制受影响的系统。此漏洞的CVSS评分为8.4，属于高危级别，攻击复杂度低，无需认证和用户交互即可实现攻击。MasterPlus是CoolerMaster开发的系统监控和调速软件，用于控制机箱风扇、散热器和RGB灯光等硬件设备。由于该软件通常需要以系统服务形式运行以实现开机自启和后台监控功能，因此MPService服务具有较高的执行权限，攻击者一旦成功利用该漏洞，将对系统安全造成严重威胁。

技术细节

未引号服务路径漏洞（Unquoted Service Path）是一种Windows系统中常见的安全漏洞类型。当Windows服务在注册表中配置的可执行文件路径包含空格但未被双引号包裹时，攻击者可以利用路径解析的歧义性进行攻击。具体来说，Windows在查找服务可执行文件时会从路径开头依次解析，遇到空格时会误认为路径结束并尝试执行同名程序。攻击者只需在服务路径的中间目录下放置恶意可执行文件即可实现权限提升。在CVE-2022-50808中，MPService服务的可执行文件路径类似C:\Program Files\CoolerMaster\MasterPlus\MPService.exe（包含空格但无引号），攻击者可以在C:\Program.exe或C:\Program Files\CoolerMaster.exe等位置植入恶意程序。当服务启动或系统重启时，Windows会优先执行攻击者植入的恶意文件，从而以SYSTEM权限执行任意代码。此漏洞的利用条件较低，攻击者只需具备本地访问权限即可实施攻击，无需远程网络访问或特殊认证。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地访问权限，通过命令行工具（如sc query）查询MPService服务的配置信息

STEP 2

步骤2

分析服务可执行文件路径，发现路径包含空格且未被双引号包裹，例如：C:\Program Files\CoolerMaster\MasterPlus\MPService.exe

STEP 3

步骤3

攻击者确定可利用的路径位置，选择在服务路径中空格之前的目录层级植入恶意可执行文件

STEP 4

步骤4

在目标系统的相应目录下创建恶意可执行文件（如Program.exe或CoolerMaster.exe），文件名需与路径中空格前的内容匹配

STEP 5

步骤5

等待服务重启或系统重启触发漏洞，Windows服务启动时会按路径顺序查找可执行文件

STEP 6

步骤6

Windows在解析路径时遇到空格，误将攻击者植入的恶意程序识别为要执行的服务文件

STEP 7

步骤7

恶意代码以SYSTEM级别的高权限执行，攻击者成功实现本地权限提升，可完全控制受影响的系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50808 PoC - Unquoted Service Path in CoolerMaster MasterPlus MPService
# This PoC demonstrates how to exploit the unquoted service path vulnerability
# to escalate privileges to SYSTEM level

import os
import sys
import subprocess
import shutil

def check_vulnerability():
    """Check if the system is vulnerable to CVE-2022-50808"""
    try:
        # Query the MPService configuration using sc command
        result = subprocess.run(
            ['sc', 'qc', 'MPService'],
            capture_output=True,
            text=True
        )
        
        if 'BINARY_PATH_NAME' in result.stdout:
            # Extract the binary path
            for line in result.stdout.split('\n'):
                if 'BINARY_PATH_NAME' in line:
                    path = line.split(':', 1)[1].strip()
                    print(f"[+] Found MPService path: {path}")
                    
                    # Check if path contains spaces and is not quoted
                    if ' ' in path and not path.startswith('"'):
                        print("[!] System is VULNERABLE - Unquoted path with spaces detected")
                        return True, path
                    else:
                        print("[-] System is NOT vulnerable")
                        return False, path
        else:
            print("[-] MPService not found on this system")
            return False, None
            
    except Exception as e:
        print(f"[-] Error checking vulnerability: {e}")
        return False, None

def exploit_vulnerability(service_path):
    """Exploit the unquoted service path vulnerability"""
    print("\n[!] Exploitation steps:")
    print("1. Analyze the service path to find exploitable location")
    print("2. Create malicious executable in the path before a space")
    print("3. Wait for service restart or system reboot")
    print("4. Malicious code executes with SYSTEM privileges")
    
    # Extract path components
    path_parts = service_path.split('\\\\')
    if len(path_parts) > 2:
        # Find the directory before the executable
        exploit_dir = '\\\\'.join(path_parts[:-1])
        malicious_name = path_parts[-2] + '.exe'
        
        print(f"\n[+] Potential exploit location: {exploit_dir}\\\\{malicious_name}")
        print(f"[+] Attacker would create: {malicious_name}")

if __name__ == '__main__':
    print("CVE-2022-50808 - CoolerMaster MasterPlus MPService Unquoted Service Path")
    print("=" * 70)
    
    is_vulnerable, path = check_vulnerability()
    
    if is_vulnerable:
        exploit_vulnerability(path)

影响范围

CoolerMaster MasterPlus < 1.8.5

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，可通过以下措施临时缓解该漏洞的风险：首先，使用Windows自带的sc命令查询MPService服务的当前配置，然后使用sc config命令为BINARY_PATH_NAME添加双引号包裹；其次，限制C:\Program Files\CoolerMaster等目录的写入权限，确保普通用户无法在这些目录下创建文件；最后，监控系统日志和服务启动事件，及时发现可疑的进程执行行为。建议尽快升级到厂商发布的最新版本以彻底修复该漏洞。