DeepInstinct Windows Agent漏洞
(CVE-2020-36934)
一、漏洞信息
1.漏洞类型:权限提升(Privilege Escalation)
2.影响产品及版本:DeepInstinct Windows Agent 1.2.24.0 及以下版本,该组件集成于 HP EliteBook 和 ZBook 系列设备中,由 HP 与 DeepInstinct 合作部署。
3.攻击场景:攻击者需具备本地低权限账户访问能力,通过在特定路径 C:\Program Files\HP Sure Sense\DeepNetworkService.exe 前插入未加引号的服务路径,利用 Windows 服务启动时的搜索路径解析机制,实现恶意代码注入,最终以 LocalSystem 权限执行任意代码。
4.在野利用情况:根据公开情报显示,该漏洞存在公开的 PoC(Proof of Concept)利用代码(Exploit-DB 编号 49020),但目前尚无明确证据表明其在真实攻击中被大规模使用,属于“已知可利用但未广泛传播”状态。
5.威胁团伙:暂无直接关联的已知 APT 组织或攻击团伙,但由于其具备本地提权能力,可能被用于长期驻留型攻击(如内网横向移动、持久化控制)。
二、安全活动事件分析
事件一:2020 年 5 月,DeepInstinct 官方发布安全公告,披露其 Windows Agent 存在未加引号服务路径漏洞(CVE-2020-36934),并确认该漏洞影响 HP EliteBook 和 ZBook 系列设备中预装的安全防护组件。
事件二:2020 年 10 月,Exploit-DB 公开编号为 49020 的 PoC,演示了如何通过在 C:\Program Files\HP Sure Sense\ 目录下放置恶意 DLL 文件,实现对 DeepNetworkService.exe 的 DLL 劫持,从而完成本地权限提升。
三、技术分析
分析:该漏洞本质为典型的“未加引号的服务路径”缺陷,属于 Windows 服务权限管理中的经典问题。攻击者无需远程访问,仅需本地低权限即可触发,一旦成功,可获得系统最高权限(LocalSystem),进而完全控制主机。结合其在企业设备(HP 商用笔记本)中的广泛部署,存在被用于内网渗透、持久化后门植入的潜在风险。
四、建议措施:
立即检查受管设备上是否安装 DeepInstinct Windows Agent 1.2.24.0 及以下版本,尤其是 HP EliteBook 和 ZBook 系列设备。
升级至官方发布的最新版本(如 1.2.25.0 及以上),以修复该漏洞。
对 C:\Program Files\HP Sure Sense\ 路径进行权限审计,确保无非授权用户可写入权限。
在系统策略中启用“强制签名验证”与“DLL 劫持防护”机制(如 Microsoft Defender Application Control 或 AppLocker)。
对关键主机实施基于行为的 EDR 监控,检测异常服务启动或 DLL 加载行为。
五、结论概述
综合分析开源情报与漏洞技术特征,CVE-2020-36934 是一个典型的本地权限提升漏洞,虽未被广泛报告为“在野利用”,但已存在公开 PoC,具备较高的可利用性。由于其影响对象为常见企业级笔记本设备(HP EliteBook/ZBook),且攻击者只需本地低权限即可完成提权,因此在企业内部网络中存在潜在的横向移动与持久化风险。建议立即开展资产排查与补丁更新,防止被恶意利用。