Microsoft уличили в нерабочем исправлении критической уязвимости в Windows

Опубликовано at 18:24
60 0

SafeBreach Labs нашли способ обойти патч, выпущенный компанией Microsoft для устранения уязвимости ( CVE-2020-1048) в службах печати Windows, эксплуатация которой позволяет злоумышленникам выполнять вредоносный код с правами администратора.

Уязвимость в Windows, которая остается после исправления проблемы, известной как PrintDemon, затрагивает диспетчер очереди печати Windows, управляющий процессом печати. Обход этой исправленной уязвимости был классифицирован как новая уязвимость (CVE-2020-1337).

Технические подробности будут опубликованы после выпуска исправления 11 августа.

Уязвимость CVE-2020-1048 , названная исследователями PrintDemon, присутствует в отвечающем за печать компоненте Windows Print Spooler. Диспетчер отправляет данные для печати на USB/параллельный порт физического принтера, TCP-порт принтера в локальной сети или в интернете или локальному файлу (в случае, если пользователь хочет отложить печать). Обнаруженная исследователями уязвимость локального повышения привилегий позволяет взломать внутренний механизм Print Spooler. Злоумышленник с доступом к приложению или Windows-ПК даже на уровне обычного пользователя может запустить непривилегированную PowerShell-команду и получить привилегии администратора на атакуемой системе.

Дело в том, что функция ProcessShadowJobs обрабатывает все файлы SHD (заголовки файла печати) в папке диспетчера очереди печати при запуске процесса. Так как диспетчер очереди печати Windows работает с правами SYSTEM, любой пользователь может помещать файлы SHD в его папку.

Эксперты нашли способ изменить файл SHD, включив в него системный SID, добавить его в папку диспетчера очереди печати и перезагрузить компьютер, чтобы диспетчер очереди печати выполнил задачу с правами самой привилегированной учетной записи в Windows.

После перезагрузки специалисты добились повышения привилегий и записали свою DLL-библиотеку в папку System32. Дальше уже дело техники.

Читайте также на АКБ:

До 14 апреля все Windows под угрозой 0-day уязвимости

Подписываемся, следим @CyberAgency

Related Post