CVE-2023-53954CVE-2023-53954是发现于ActFax 10.10版本中的一个本地权限提升漏洞。该漏洞源于ActiveFaxServiceNT服务的可执行文件路径未使用引号包裹,导致Windows服务在解析路径时存在歧义。攻击者利用此漏洞可以劫持服务启动过程,在服务重启时以SYSTEM高权限执行任意恶意代码。成功利用此漏洞的攻击者可以完全控制受影响的系统,执行恶意操作、窃取敏感数据或部署后门。由于该漏洞需要攻击者具有目标系统的本地访问权限和Program Files目录的写入权限,因此主要威胁场景为内部人员滥用或已被初步入侵的主机进行横向移动。
该漏洞的根本原因在于Windows服务配置中的路径解析机制。当一个服务的可执行文件路径包含空格且未使用引号包裹时,Windows会从左到右解析路径,并在遇到空格时将其作为路径分隔符处理。例如,如果服务路径为C:\Program Files\ActFax\ActSrvNT.exe且未加引号,Windows会首先尝试执行C:\Program.exe,如果不存在则尝试C:\Program Files\ActSrvNT.exe。攻击者可以利用这一特性,在C:\目录下放置名为Program.exe的恶意可执行文件,当ActiveFaxServiceNT服务启动时,系统会错误地执行攻击者植入的恶意程序,从而以SYSTEM权限运行任意代码。这种攻击方式被称为"路径劫持"或"二进制植入"攻击,是权限提升的经典手法之一。