CVE-2022-50900: Wondershare Dr.Fone 未引用服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50900

漏洞类型

未引用服务路径漏洞

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wondershare Dr.Fone 12.0.18

漏洞概述

CVE-2022-50900是Wondershare Dr.Fone 12.0.18版本中存在的一个高危安全漏洞，漏洞类型为未引用服务路径（Unquoted Service Path）权限提升漏洞。该漏洞允许本地攻击者在具有低权限的情况下，通过利用服务路径配置错误来劫持服务执行流程，最终以LocalSystem最高权限执行任意恶意代码。Wondershare Dr.Fone是一款广受欢迎的移动设备数据管理和恢复软件，由于其需要系统级权限来访问设备数据，因此以高权限服务形式运行。攻击者利用未正确引用的服务路径，可以将恶意可执行文件放置在服务路径的中间目录中，当服务重启时会优先执行攻击者的恶意程序，从而实现权限提升和系统完全控制。此漏洞的CVSS评分达到8.4分，属于高危级别，对系统安全性构成严重威胁。

技术细节

未引用服务路径漏洞是一种常见的Windows权限提升漏洞。当Windows服务配置中的服务路径未使用引号包裹且包含空格时，系统会按照路径空格分隔后的顺序依次查找并执行程序。例如，如果服务路径配置为C:\Program Files\Wondershare\Dr.Fone\bin\Service.exe而未加引号，系统会首先尝试执行C:\Program.exe，如果不存在则尝试C:\Program Files\Wondershare\Dr.Fone\bin\Service.exe。攻击者可以将恶意可执行文件命名为Program.exe并放置在C:\根目录，当Dr.Fone服务启动时，系统会错误地执行攻击者的程序。由于服务以LocalSystem权限运行，恶意代码也将获得最高系统权限。攻击者还可以将恶意DLL放入相关目录，通过DLL侧加载进一步实现持久化和更复杂的攻击。该漏洞可被本地低权限用户利用，无需认证和用户交互即可实现权限提升。

攻击链分析

STEP 1

1

信息收集：攻击者首先进行本地信息收集，识别系统中存在的未引用服务路径漏洞，列出所有服务及其可执行文件路径

STEP 2

2

路径分析：分析服务路径中包含空格的目录名，确定可被劫持的路径位置，例如C:\Program Files\Wondershare\Dr.Fone\bin\Service.exe中的Program.exe可被劫持

STEP 3

3

恶意代码准备：攻击者编写恶意可执行文件或DLL，包含权限提升后门、持久化机制或进一步攻击载荷

STEP 4

4

文件放置：将恶意可执行文件（如Program.exe）放置到服务路径的第一个目录位置，等待服务启动时自动执行

STEP 5

5

触发执行：通过系统重启、服务重启或定时任务触发目标服务，Windows会按照路径空格分割顺序查找并执行恶意程序

STEP 6

6

权限提升：恶意代码以LocalSystem最高权限执行，攻击者获得系统完全控制权，可进一步进行横向移动、数据窃取或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2022-50900 PoC - Wondershare Dr.Fone Unquoted Service Path
This PoC demonstrates the unquoted service path vulnerability in Wondershare Dr.Fone 12.0.18
Note: For educational and authorized testing purposes only
"""

import os
import sys
import ctypes
import subprocess

def check_service_path(service_name):
    """Check if the service has an unquoted path with spaces"""
    try:
        result = subprocess.run(
            ['sc', 'qc', service_name],
            capture_output=True,
            text=True
        )
        if 'BINARY_PATH_NAME' in result.stdout:
            print(f"[*] Checking service: {service_name}")
            for line in result.stdout.split('\n'):
                if 'BINARY_PATH_NAME' in line:
                    path = line.split(':', 1)[1].strip()
                    print(f"[+] Service path: {path}")
                    # Check if path contains spaces and is not quoted
                    if ' ' in path and not path.startswith('"'):
                        print("[!] VULNERABLE: Unquoted path with spaces detected!")
                        return True
            return False
    except Exception as e:
        print(f"[-] Error checking service: {e}")
    return False

def exploit_unquoted_path(malicious_exe_path, target_service):
    """
    Exploit unquoted service path by placing malicious executable
    This creates a file that will be executed instead of the legitimate service
    """
    # Extract the first directory name from the unquoted path
    # Example: C:\Program Files\Wondershare\Dr.Fone\bin\Service.exe
    # Attacker can place Program.exe in C:\
    print(f"[*] To exploit this vulnerability:")
    print(f"[1] Create a malicious executable at a path that matches the first segment")
    print(f"[2] Wait for the service to restart or force restart: sc stop {target_service} && sc start {target_service}")
    print(f"[3] The malicious code will execute with LocalSystem privileges")
    print(f"\n[!] This is for authorized security testing only!")

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2022-50900 - Wondershare Dr.Fone Unquoted Service Path")
    print("=" * 60)
    
    # Check if running with admin privileges
    if ctypes.windll.shell32.IsUserAnAdmin():
        print("[+] Running with administrator privileges")
    else:
        print("[!] Warning: Not running as administrator")
    
    # Check for vulnerable service
    vulnerable_services = ['InstallAssist', 'DrFoneService', 'Wondershare Service']
    for svc in vulnerable_services:
        if check_service_path(svc):
            exploit_unquoted_path(None, svc)
            break

影响范围

Wondershare Dr.Fone < 12.0.18

Wondershare InstallAssist (相关服务组件)

防御指南

临时缓解措施

在官方修复发布之前，可通过以下措施临时缓解风险：1) 检查并临时停止相关Wondershare服务；2) 对服务目录设置严格的访问控制权限，限制非管理员用户对Program Files/Wondershare目录的写入权限；3) 使用EDR/XDR解决方案监控该目录下的可疑文件创建和进程执行行为；4) 考虑使用应用程序控制策略（如Windows AppLocker或Windows Defender Application Control）阻止未经授权的程序执行；5) 关注厂商安全公告，及时应用官方发布的安全更新。