Plantronics Hub 软件漏洞引发严重后果：攻击者肆意提升权限

Plantronics Hub 软件中存在一个严重的安全漏洞，攻击者能够利用未加引号的搜索路径缺陷来提升权限。

受影响的版本为 3.24.5 到 3.25.2。当该软件与 OpenScape Fusion for MS Office 一同安装时，这个漏洞会变得尤为危险，因为 OpenScape Fusion 通常会被配置为企业系统中的启动应用程序。

该漏洞利用了 Windows 系统对包含空格的未加引号路径的处理方式。

当 OpenScape 试图使用注册表中存储的路径 “C:\Program Files (x86)\Plantronics\Spokes3G SDK\PLTHub.exe” 来启动Plantronics Hub 软件时，Windows 会先尝试执行 “C:\Program.exe”，然后才会尝试完整路径。

如果用户对 C:\ 目录拥有写入权限，那么这种情况就为攻击提供了一个绝佳的切入点。

8Com 公司的研究人员发现，攻击者可以通过在 C:\ 目录中放置恶意文件来利用这一特性。当管理员运行 OpenScape 时，这些恶意文件将以提升后的权限执行。

此漏洞被归类为 CWE-428：未加引号的搜索路径或元素，这是一种已知的软件缺陷，即应用程序未能正确地对包含空格的路径加上引号。

这种攻击在 C:\ 目录中需要三个组件：Program.exe（入口点）、aka.exe（用于绕过用户账户控制）和 ape.exe.lnk（有效载荷）。

当 OpenScape 在启动时运行并尝试启动 Plantronics Hub 软件时，就会触发攻击，引发执行链，从而导致权限提升。

感染机制详情

这种技术实现依赖于 LocalServer32 注册表项，该项包含了指向 PLTHub.exe 的未加引号的路径。

当执行时，Program.exe 会使用特定参数调用 aka.exe，以绕过用户账户控制限制，并以管理员权限执行有效载荷。

为了进行演示，8Com 公司的研究人员使用了一个简单的 PowerShell 命令作为有效载荷：
powershell.exe -c “whoami /all > C:\poc.txt”

当以管理员权限执行此命令时，它会将当前用户的提升权限信息写入一个文本文件中，从而确认权限提升成功。

这个过程从管理员登录时开始，自动触发 OpenScape Fusion，而它会试图通过存在漏洞的路径来启动 Plantronics Hub 软件。

由于 Plantronics Hub 软件已不再受到HP 的官方支持，因此目前没有可用的补丁。

安全专家应该通过给注册表路径加上引号，或者限制对 C:\ 目录的写入权限来降低这种风险，确保只有管理员能够修改根目录。

HP 已经更新了其商业销售终止通知，以告知客户这一漏洞。