CVE-2026-7280eMPIA Technology开发的AVACAST软件存在未引用服务路径安全漏洞。该漏洞源于服务路径未正确包含引号,允许本地具有高权限的攻击者在受影响系统的特定目录中植入恶意可执行文件。一旦AVACAST服务启动或重启,系统将误执行该恶意文件,从而赋予攻击者系统级别的权限,进而导致机密性、完整性和可用性受到严重影响。
Windows操作系统在解析服务路径时,若路径未包含引号且包含空格(如 C:\Program Files\AVACAST\service.exe),服务控制管理器(SCM)会根据空格将路径拆分,并尝试从第一个空格处截断作为可执行文件名进行加载。例如,SCM会先尝试加载 C:\Program.exe,若不存在再尝试下一级路径。在CVE-2026-7280中,AVACAST服务配置了未引用的路径。攻击者若拥有本地高权限账户,可在系统目录(如C盘根目录)下创建名为 Program.exe 的恶意程序。当服务重启时,SCM会优先执行攻击者的恶意程序,从而以SYSTEM权限运行任意代码。尽管利用需要高权限初始访问,但它是从现有的高权限提升至SYSTEM级完全控制权的有效手段。