CVE-2022-50923 Cobian Backup 未引用服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50923

漏洞类型

未引用服务路径权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Cobian Backup

漏洞概述

CVE-2022-50923是Cobian Backup 0.9版本中发现的一个高危本地权限提升漏洞。该漏洞源于CobianReflectorService服务使用了未加引号的可执行文件路径，攻击者可以利用Windows服务路径解析机制，在服务启动时注入并执行恶意代码，从而获得系统级（LocalSystem）权限。由于该漏洞需要本地访问触发，攻击复杂度较低，且对机密性、完整性和可用性均造成高影响，因此被评定为高危漏洞。攻击者仅需在目标系统的特定目录下植入恶意可执行文件，即可利用服务重启或系统重启时机实现权限提升。

技术细节

该漏洞的根本原因在于Windows操作系统解析服务路径时的行为特性。当一个服务的可执行文件路径包含空格且未使用引号包裹时，系统会按照路径中的空格进行分段解析，从左到右依次尝试查找并执行匹配的可执行文件。例如，如果服务路径为C:\Program Files\Cobian Backup\CobianReflectorService.exe，系统会依次尝试执行C:\Program.exe、C:\Program Files\Cobian.exe、C:\Program Files\Cobian Backup\CobianReflectorService.exe等。攻击者只需在C:\Program.exe位置放置恶意程序，即可被系统以高权限执行。由于CobianReflectorService以LocalSystem权限运行，恶意代码将以最高系统权限执行，实现完全控制。

攻击链分析

STEP 1

1

攻击者获得目标系统的本地低权限访问权限

STEP 2

2

识别CobianReflectorService服务及其未加引号的可执行文件路径

STEP 3

3

分析路径中空格的位置，确定可注入恶意代码的路径点

STEP 4

4

在服务路径的中间目录位置（如C:\Program.exe）植入恶意可执行文件

STEP 5

5

等待服务重启或系统重启触发漏洞

STEP 6

6

Windows按空格分割路径并优先执行攻击者植入的恶意程序

STEP 7

7

恶意代码以LocalSystem高权限执行，实现完全权限提升和控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50923 PoC - Unquoted Service Path in Cobian Backup
# This PoC demonstrates the unquoted service path vulnerability in CobianReflectorService
# Attack vector: Place malicious executable in path before the legitimate service binary

import os
import sys
import subprocess

def check_vulnerability():
    """Check if the system is vulnerable to CVE-2022-50923"""
    try:
        # Query the CobianReflectorService configuration
        result = subprocess.run(
            ['sc', 'qc', 'CobianReflectorService'],
            capture_output=True,
            text=True
        )
        
        if 'BINARY_PATH_NAME' in result.stdout:
            # Extract the binary path
            for line in result.stdout.split('\n'):
                if 'BINARY_PATH_NAME' in line:
                    path = line.split(':', 1)[1].strip()
                    print(f"[*] Current Binary Path: {path}")
                    
                    # Check if path is unquoted (vulnerable)
                    if '"' not in path and ' ' in path:
                        print("[!] VULNERABLE: Path is unquoted and contains spaces")
                        return True
                    else:
                        print("[+] NOT VULNERABLE: Path is properly quoted")
                        return False
        else:
            print("[-] CobianReflectorService not found")
            return False
            
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

def exploit():
    """Exploitation steps for CVE-2022-50923"""
    print("=" * 60)
    print("CVE-2022-50923 Exploitation Guide")
    print("=" * 60)
    print("\n[!] This is for educational and authorized testing purposes only")
    print("\nAttack Steps:")
    print("1. Identify the unquoted path (e.g., C:\\Program Files\\Cobian Backup\\CobianReflectorService.exe)")
    print("2. Create malicious executable named 'Program.exe'")
    print("3. Place it in C:\\ directory")
    print("4. Wait for service restart or system reboot")
    print("5. Malicious code executes with LocalSystem privileges")
    print("\n[!] Requires local administrator access to place files")

if __name__ == '__main__':
    check_vulnerability()
    exploit()

影响范围

Cobian Backup 0.9

防御指南

临时缓解措施

在服务配置中使用完整引号路径，例如将BINARY_PATH_NAME设置为"C:\Program Files\Cobian Backup\CobianReflectorService.exe"；同时限制相关目录的写权限，防止非授权用户植入恶意程序；建议暂时停止使用Cobian Backup直到官方发布修复补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2022-50923
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2022-50923
3 Details https://www.cvedetails.com/cve/CVE-2022-50923/
4 VulDB https://vuldb.com/cve/CVE-2022-50923
5 Link https://www.cobiansoft.com//
6 Link https://www.cobiansoft.com/download.php/
7 Link https://www.exploit-db.com/exploits/50810
8 Link https://www.vulncheck.com/advisories/cobian-backup-unquoted-service-path