alexzir
16.05.2020, 12:10
Два исследователя в области кибербезопасности раскрыли информацию об уязвимости (printdemon-cve-2020-104) в службе печати Windows.
Примечательно, что эта брешь затрагивает все версии операционной системы, начиная с самых древних — Windows NT 4 (релиз состоялся в 1996 году). Проблема безопасности получила имя PrintDemon, она затрагивает основной компонент Windows Print Spooler (https://docs.microsoft.com/en-us/windows/win32/printdocs/print-spooler), отвечающий за управление операциями печати.
Сама уязвимая служба ОС призвана отправлять данные на печать соответствующему устройству, подключённому через порт USB. В своём отчёте (https://windows-internals.com/printdemon-cve-2020-1048/) специалисты утверждают, что выявленная уязвимость позволяет получить контроль над внутренним механизмом Printer Spooler.
К счастью, баг нельзя использовать для удалённой атаки по сети.
PrintDemon является типичной брешью локального повышения прав в системе (LPE). На деле это значит, что атакующий с низкими привилегиями может получить права администратора с помощью простой команды PowerShell.
Опасность дыры в службе печати обусловлена её доступностью любому приложению, которое хочет распечатать файл. Никаких ограничений при этом операционная система не накладывает.
Таким образом, злоумышленник может создать задание на печать, в ходе этого процесса будет задействован файл (например, локальный DLL).
Далее атакующий запускает печать, специально приводит к сбою Print Spooler и позволяет процессу возобновиться.
В этом случае операция уже будет наделена правами SYSTEM, которые позволят перезаписывать любой файл на компьютере.
Эксперты с помощью обнаруженной уязвимости установили в тестовую систему бэкдор. На GitHub, кстати, доступен PoC-код эксплойта (https://github.com/ionescu007/PrintDemon). Однако переживать по поводу этого бага особо не стоит, поскольку Microsoft уже выпустила соответствующий патч. Он доступен в майском наборе обновлений.
P.S. правда, мелкомягкие скромно умолчали, что пользователи старых версий останутся без защиты, но это мелочи :-(
Источник: https://www.anti-malware.ru/news/2020-05-14-111332/32685
Примечательно, что эта брешь затрагивает все версии операционной системы, начиная с самых древних — Windows NT 4 (релиз состоялся в 1996 году). Проблема безопасности получила имя PrintDemon, она затрагивает основной компонент Windows Print Spooler (https://docs.microsoft.com/en-us/windows/win32/printdocs/print-spooler), отвечающий за управление операциями печати.
Сама уязвимая служба ОС призвана отправлять данные на печать соответствующему устройству, подключённому через порт USB. В своём отчёте (https://windows-internals.com/printdemon-cve-2020-1048/) специалисты утверждают, что выявленная уязвимость позволяет получить контроль над внутренним механизмом Printer Spooler.
К счастью, баг нельзя использовать для удалённой атаки по сети.
PrintDemon является типичной брешью локального повышения прав в системе (LPE). На деле это значит, что атакующий с низкими привилегиями может получить права администратора с помощью простой команды PowerShell.
Опасность дыры в службе печати обусловлена её доступностью любому приложению, которое хочет распечатать файл. Никаких ограничений при этом операционная система не накладывает.
Таким образом, злоумышленник может создать задание на печать, в ходе этого процесса будет задействован файл (например, локальный DLL).
Далее атакующий запускает печать, специально приводит к сбою Print Spooler и позволяет процессу возобновиться.
В этом случае операция уже будет наделена правами SYSTEM, которые позволят перезаписывать любой файл на компьютере.
Эксперты с помощью обнаруженной уязвимости установили в тестовую систему бэкдор. На GitHub, кстати, доступен PoC-код эксплойта (https://github.com/ionescu007/PrintDemon). Однако переживать по поводу этого бага особо не стоит, поскольку Microsoft уже выпустила соответствующий патч. Он доступен в майском наборе обновлений.
P.S. правда, мелкомягкие скромно умолчали, что пользователи старых версий останутся без защиты, но это мелочи :-(
Источник: https://www.anti-malware.ru/news/2020-05-14-111332/32685