●概述：
據ZeroDayLab研究員Osanda Malith Jayathissa分析，英國行動網路電信業者EE(Everything Everywhere)，販售之4GEE WiFi Mini modem，因Alcatel開發過程之軟體瑕疵，導致ServiceManager.exe所在資料夾，兼有Unquoted Service Path及權限控管疏漏，數據機驅動程式所在資料夾(C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\)，其增刪讀寫完整權力竟設定給一般帳號，故駭客無需管理者身分，可直接以同檔名惡意程式，覆蓋既有ServiceManager.exe，主機重開機後旋即生效，由於探勘技術門檻甚低，攻擊者不費吹灰之力，便可於本機取得系統權限並恣意操作，安裝後門或間諜軟體，該事件列為高度威脅，使用者一旦循USB連接PC與modem，則瞬間弱化Windows環境安全，業者已公布升級韌體，用戶宜儘速更新。
●編註：
(1)本機擴權途徑
攜行式4GEE Mini無線modem，雖為EE公司品牌，但由行動裝置業者Alcatel出廠，故此漏洞事件，實質技術責任歸屬Alcatel，modem運作時啟動一項service，服務名稱為Alcatel OSPREY3_MINI Modem Device Helper，service本身無異狀，但在cmd line使用sc qc指令查詢服務配置訊息，可觀察到其BINARY_PATH_NAME，卻是未被雙引號 ” 括住的路徑C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start，單是這項Unquoted Service Path破綻就足以讓駭客置入惡意程式且欺騙OS去執行，然最嚴重瑕疵則在資料夾EE40預設權限，竟開放給everyone群組全部操作許可，且ACL規則同意Object、Container繼承上層設定，意即任何登入windows帳號，能對EE40及其子資料夾，進行讀寫增刪，當然也能竄改下層的BackgroundService\ServiceManager.exe，ServiceManager.exe具有NT AUTHORITY\SYSTEM最高系統權力，若被植入同名惡意執行檔，重開機後自動運作，勢將對作業系統構成威脅，攻擊者能控制電腦所有行為。
原廠已更新韌體，但亦可操作NTFS檔案系統權限管理命令icacls，手動調降資料夾許可權，指令參數及執行路徑如下：
C:\Program Files\Web Connecton>icacls "EE40" /t /grant:r Everyone:(OI)(CI)R
(2)簡述Unquoted Service Path弱點
從人的角度觀之，路徑就是字串，一目瞭然，對windows運作邏輯而言，就是另外一種理解方式，若路徑內包含任何空白，就會造成OS判斷混淆，以C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe執行過程為例，OS遇到空白，會依次搜尋：
C:\Program.exe
C:\Program Files\Web.exe
C:\Program Files\Web Connecton\EE40\BackgroundService\ServiceManager.exe
當然找不到Program.exe與 Web.exe，所以才能正常執行ServiceManager.exe，但駭客若植入惡意程式名為Program.exe或Web.exe，又剛好放在對應位置，則探勘Unquoted Service Path就算成功，故程式開發者需注意，以雙引號包夾路徑”C:\Program Files\...\ServiceManager.exe”，避免此微軟作業系統專屬風險，至於本文弱點手動排除，可經登錄值編輯器regedit，找到Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alcatel OSPREY3_MINI Modem Device Helper，修改ImagePath機碼值為"C:\Program Files (x86)\Web Connecton\EE40\BackgroundService\ServiceManager.exe -start"