Windows Print Spooler 被曝未修复 0day,可导致恶意软件以管理员权限运行
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
研究人员找到绕过Windows 打印服务漏洞 CVE-2020-1048 补丁的方法,可导致攻击者以提升后的权限执行恶意代码。
CVE-2020-1048 最初在5月份修复,新补丁将由微软在本月安全更新中发布。
尚无补丁
SafeBreach Labs 公司的研究员 Peleg Hadar 和 Tomer Bar 发现并报告了CVE-2020-1048,它影响管理打印进程的 Windows PrintSpooler。绕过该补丁被视作新漏洞 CVE-2020-1337,将于8月11日收到修复方案。
这个新漏洞的技术详情尚未公开,将于微软发布补丁后和PoC Mini-Filter 驱动一起发布,说明如何实时防御两个漏洞遭利用。
植入恶意软件
攻击者可构造由后台打印程序 (spooler) 解析的恶意文件利用 CVE-2020-1048。一种文件类型是 .SHD (shadow) 格式,包含打印任务的元数据如 SID(用户创建任务的 ID);另一种文件类型是 SPL(Spool 文件),含有需要打印的数据。通过分析打印进程和了解它的工作原理,研究人员发现函数 ProcessShadowJobs在进程启动时,处理后台打印程序文件夹中的所有 SHD 文件。
了解到 Windows PrintSpooler 以系统权限运行且任意用户都能将 SHD 文件释放到其文件夹后,研究人员试图找到写入 system32 目录中的方法,这一任务需要提升权限。
Hadar 和 Bar 发现他们能够修改一个 SHD 文件以包含 SYSTEM SID,将其添加到 Spooler 的文件夹中,并为 Spooler 重启计算机,以Windows 上最高权限的账户执行这一任务。
通过伪装成 SPL 文件的任意 DLL(webmcomn.dll),将恶意构造的 SHD 复制到该后台打印程序的文件夹中。重启之后,他们实现了提权并将 DLL 写入 System32 文件夹。研究人员指出,“多个 Windows 服务加载了我们的 DLL(webmcomn.dll),因为它们并未验证签名并试图从一个不存在的路径加载 DLL,意味着我们的代码也得到执行。”
虽然在更新后的系统中这种利用方法已不起作用,但研究人员发现能够绕过微软补丁并实现类似结果。
虽然这两个漏洞无一能导致主机受陷,但能够用于攻击的第二阶段,从而导致系统完全遭接管。
Hadar 和 Bar 将在美国黑帽大会上发布研究结果。
推荐阅读
ZDI 公布多个尚未修复的 Windows 高危0day详情
严重的 BootHole 漏洞影响所有 Linux 发行版和 Windows 系统(详细分析)
原文链接
https://www.bleepingcomputer.com/news/security/unpatched-bug-in-windows-print-spooler-lets-malware-run-as-admin/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~