• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    DeepInstinct Windows Agent漏洞(CVE-2020-36934)

    发布日期:2026-01-26    浏览次数:

    DeepInstinct Windows Agent漏洞

    (CVE-2020-36934)

    一、漏洞信息


    1.漏洞类型:权限提升(Privilege Escalation

    2.影响产品及版本:DeepInstinct Windows Agent 1.2.24.0 及以下版本,该组件集成于 HP EliteBook ZBook 系列设备中,由 HP DeepInstinct 合作部署。

    3.攻击场景:攻击者需具备本地低权限账户访问能力,通过在特定路径 C:\Program Files\HP Sure Sense\DeepNetworkService.exe 前插入未加引号的服务路径,利用 Windows 服务启动时的搜索路径解析机制,实现恶意代码注入,最终以 LocalSystem 权限执行任意代码。

    4.在野利用情况:根据公开情报显示,该漏洞存在公开的 PoCProof of Concept)利用代码(Exploit-DB 编号 49020),但目前尚无明确证据表明其在真实攻击中被大规模使用,属于已知可利用但未广泛传播状态。

    5.威胁团伙:暂无直接关联的已知 APT 组织或攻击团伙,但由于其具备本地提权能力,可能被用于长期驻留型攻击(如内网横向移动、持久化控制)。


    二、安全活动事件分析


    事件一:2020 5 月,DeepInstinct 官方发布安全公告,披露其 Windows Agent 存在未加引号服务路径漏洞(CVE-2020-36934),并确认该漏洞影响 HP EliteBook ZBook 系列设备中预装的安全防护组件。

    事件二:2020 10 月,Exploit-DB 公开编号为 49020 PoC,演示了如何通过在 C:\Program Files\HP Sure Sense\ 目录下放置恶意 DLL 文件,实现对 DeepNetworkService.exe DLL 劫持,从而完成本地权限提升。


    三、技术分析


    分析:该漏洞本质为典型的未加引号的服务路径缺陷,属于 Windows 服务权限管理中的经典问题。攻击者无需远程访问,仅需本地低权限即可触发,一旦成功,可获得系统最高权限(LocalSystem),进而完全控制主机。结合其在企业设备(HP 商用笔记本)中的广泛部署,存在被用于内网渗透、持久化后门植入的潜在风险。


    四、建议措施:


    立即检查受管设备上是否安装 DeepInstinct Windows Agent 1.2.24.0 及以下版本,尤其是 HP EliteBook ZBook 系列设备。

    升级至官方发布的最新版本(如 1.2.25.0 及以上),以修复该漏洞。

    C:\Program Files\HP Sure Sense\ 路径进行权限审计,确保无非授权用户可写入权限。

    在系统策略中启用强制签名验证“DLL 劫持防护机制(如 Microsoft Defender Application Control AppLocker)。

    对关键主机实施基于行为的 EDR 监控,检测异常服务启动或 DLL 加载行为。


    五、结论概述


    综合分析开源情报与漏洞技术特征,CVE-2020-36934 是一个典型的本地权限提升漏洞,虽未被广泛报告为在野利用,但已存在公开 PoC,具备较高的可利用性。由于其影响对象为常见企业级笔记本设备(HP EliteBook/ZBook),且攻击者只需本地低权限即可完成提权,因此在企业内部网络中存在潜在的横向移动与持久化风险。建议立即开展资产排查与补丁更新,防止被恶意利用。




    一审:胡洋

    二审:胡洋

    三审:杨文

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106