Уязвимость PrintDemon опасна для всех версий Windows,выпущенных после 1996г.
14.05.20
ИБ-специалисты Алекс Ионеску и Ярден Шафир опубликовали информацию об уязвимости PrintDemon, которая связана со службой печати в Windows. По словам исследователей, эта проблема затрагивает все версии ОС, начиная с Windows NT 4, выпущенной в далеком 1996 году. На GitHub уже доступен PoC-эксплоит для PrintDemon.
Корень проблемы PrintDemon кроется в компоненте Windows Print Spooler, который управляет операциями печати в Windows. Служба используется для отправки данных для печати на USB или параллельный порт (для физически подключенных принтеров), на порт TCP (для принтеров, находящихся в локальной сети или в интернете), или в локальный файл (в тех редких случаях, когда пользователь хочет сохранить задание на печать на будущее).
Эксперты пишут, что обнаруженную ими ошибку можно использовать для компрометации механизма Printer Spooler. По сути, PrintDemon представляет собой уязвимость локального повышения привилегий (LPE). То есть проблему нельзя использовать для удаленной компрометации через интернет, а значит, к счастью, можно не опасаться волны удаленных атак на Windows-системы.
Эксплуатация PrintDemon позволяет атакующему, который ранее имел хоть какую-то «точку опоры» в системе, получить привилегии администратора. Поскольку служба Print Spooler доступна любому приложению, которое хочет напечатать файл, она доступна для всех приложений, работающих в системе, без ограничений.
Злоумышленник может создать задание на печать, которое печатает «в файл», например, локальный DLL, используемый ОС или другим приложением. В итоге получится инициировать операцию печати, «уронить» при этом Print Spooler, а затем возобновить работу, но теперь операция печати будет выполняться с привилегиями SYSTEM и позволит перезаписывать любые файлы в произвольном месте.
Ионеску отмечает у себя в Twitter, что для эксплуатации бага в текущих версиях Windows требуется всего одна строка PowerShell. В более старых версиях ОС атака может потребовать чуть больших усилий.
iXBT
14.05.20
ИБ-специалисты Алекс Ионеску и Ярден Шафир опубликовали информацию об уязвимости PrintDemon, которая связана со службой печати в Windows. По словам исследователей, эта проблема затрагивает все версии ОС, начиная с Windows NT 4, выпущенной в далеком 1996 году. На GitHub уже доступен PoC-эксплоит для PrintDemon.
Корень проблемы PrintDemon кроется в компоненте Windows Print Spooler, который управляет операциями печати в Windows. Служба используется для отправки данных для печати на USB или параллельный порт (для физически подключенных принтеров), на порт TCP (для принтеров, находящихся в локальной сети или в интернете), или в локальный файл (в тех редких случаях, когда пользователь хочет сохранить задание на печать на будущее).
Эксперты пишут, что обнаруженную ими ошибку можно использовать для компрометации механизма Printer Spooler. По сути, PrintDemon представляет собой уязвимость локального повышения привилегий (LPE). То есть проблему нельзя использовать для удаленной компрометации через интернет, а значит, к счастью, можно не опасаться волны удаленных атак на Windows-системы.
Эксплуатация PrintDemon позволяет атакующему, который ранее имел хоть какую-то «точку опоры» в системе, получить привилегии администратора. Поскольку служба Print Spooler доступна любому приложению, которое хочет напечатать файл, она доступна для всех приложений, работающих в системе, без ограничений.
Злоумышленник может создать задание на печать, которое печатает «в файл», например, локальный DLL, используемый ОС или другим приложением. В итоге получится инициировать операцию печати, «уронить» при этом Print Spooler, а затем возобновить работу, но теперь операция печати будет выполняться с привилегиями SYSTEM и позволит перезаписывать любые файлы в произвольном месте.
Ионеску отмечает у себя в Twitter, что для эксплуатации бага в текущих версиях Windows требуется всего одна строка PowerShell. В более старых версиях ОС атака может потребовать чуть больших усилий.
Alex Ionescu@aionescu
Attackers can exploit CVE-2020-1048 with a single PowerShell command:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
On an unpatched system, this will install a persistent backdoor, that won't go away *even after you patch*.
See https://windows-internals.com/printdemon-cve-2020-1048/ … for more details.
Как можно понять по сообщению исследователя, исправление для этой проблемы уже доступно. Патч для уязвимости PrintDemon вошел в состав майского «вторника обновлений» от Microsoft, а сама уязвимость получила идентификатор CVE-2020-1048.«В непропатченной системе это позволит установить устойчивый бэкдор, который не исчезнет *даже после установки патча*», — подчеркивает эксперт.
Стоит отметить, что первыми этот баг заметили эксперты компании SafeBreach Labs, и они же сообщили о ней в Microsoft. Исследователи представят собственный доклад по этому вопросу на конференции Black Hat, которая состоится в августе текущего года.
Хакер.ру
iXBT
Последнее редактирование: