Unpatched Bug in Windows Print Spooler gibt Malware Admin Privileg

Eine Methode wurde vom Forscher gegründet, um einen Patch zu umgehen, microsoft veröffentlicht, um ein Problem in den Windows-Druckdiensten zu beheben, die Angreifern eine Route für die Ausführung von widerwärtigem Code mit erhöhten Berechtigungen bietet. Aufgenommen als CVE-2020-1048, erhielt der anfängliche Fehler eine erste Korrektur im Mai und ein weiterer kommt mit der Einführung der Sicherheitsupdates von Microsoft in diesem Monat. CVE-2020-1048 wurde von Peleg Hadar und Tomer Bar von SafeBreach Labs gegründet und zuverlässig gemeldet.

Das Ausweichen wurde als neuer Fehler kategorisiert, der die Tracking-Nummer CVE-2020-1337 erhalten hat. Eine Korrektur wird am 11. August verfügbar sein. Technische Details für den neuen Fehler sind noch privat, werden aber nach der Veröffentlichung des Patches veröffentlicht, zusammen mit einem Proof-of-Concept Mini-Filter-Treiber, der zeigt, wie man den Missbrauch der beiden Belichtungen in Echtzeit abwendet.

Pflanzen von Malware

Der Missbrauch von CVE-2020-1048 kann durch Erstellen böswilliger Dateien erfolgen, die vom Spooler analysiert werden. Ein Typ ist . SHD (Shadow) Format und enthält Metadaten für den Druckauftrag, wie SID – die ID des Benutzers, der den Auftrag erstellt. Die andere ist SPL (Spool-Datei) mit den Daten, die gedruckt werden müssen. „Dies schien sehr interessant, da es eine bequeme Möglichkeit bietet, Daten direkt an den Spooler zu senden, die (wahrscheinlich) analysiert und auch von anderen Komponenten verwendet werden“, schreiben die Forscher heute in einem technischen Bericht.

Wenn man bedenkt, dass Windows Print Spooler mit SYSTEM-Berechtigungen ausgeführt wird und jeder Benutzer SHD-Dateien in seinen Ordner ablegen kann, haben die Forscher versucht, einen Weg zu finden, in das System32-Verzeichnis zu schreiben, eine Aufgabe, die erhöhte Berechtigungen erfordert. Hadar und Bar haben enthüllt, dass sie eine SHD-Datei so ändern können, dass sie die SYSTEM-SID enthält, sie dem Ordner des Spoolers hinzufügt und den Computer für den Spooler neu startet, um die Aufgabe mit den Rechten des privilegiertesten Kontos unter Windows auszuführen.

Zusammen mit einer beliebigen DLL (wbemcomn.dll), die als SPL-Datei getarnt ist, kopierten sie die malcrafted SHD in den Ordner des Spoolers. Bei einem Neustart später erreichten sie eine Berechtigungseskalation und schrieben ihre DLL in den Ordner System32. „Als Bonus haben mehrere Windows-Dienste unsere DLL (wbemcomn.dll) geladen, da sie die Signatur nicht überprüften und versuchten, die DLL von einem nicht vorhandenen Pfad zu laden, was bedeutete, dass wir auch Codeausführung erhielten“, so die beiden Forscher.