Un error sin parches en la cola de impresión de Windows da privilegio de administrador de malware 

Un método ha sido fundado por el investigador para evadir un parche, Microsoft lanzó para abordar un problema en los servicios de impresión de Windows que proporciona a los atacantes una ruta a la ejecución de código rencoroso con privilegios elevados. Grabado como CVE-2020-1048, el error inicial recibió una corrección inicial en mayo y otro viene con la implementación de actualizaciones de seguridad de Microsoft este mes. Fundada e informada de forma fiable por Peleg Hadar y Tomer Bar de SafeBreach Labs, CVE-2020-1048 afecta a Windows Print Spooler, el servicio que gestiona el proceso de impresión.


Evading se ha categorizado como un nuevo defecto que recibió el número de seguimiento CVE-2020-1337. Una corrección estará disponible el 11 de agosto.Los detalles técnicos para el nuevo error siguen siendo privados, pero se emitirán después del lanzamiento del parche, junto con un controlador de minifiltro de prueba de concepto que muestra cómo evitar en tiempo real el abuso de las dos exposiciones.
Plantación de malware
Abusing CVE-2020-1048 se puede hacer mediante la creación de archivos malévolos analizados por la cola de impresión. Un tipo es . SHD (Sombra) y contiene metadatos para el trabajo de impresión, como SID – el IDENTIFICADOR del usuario que crea el trabajo. El otro es SPL (archivo Spool), con los datos que se requieren para ser impresos. «Esto parecía muy interesante, ya que proporciona una manera conveniente de enviar datos directamente a la cola de impresión, que (probablemente) será analizado y será utilizado por otros componentes también», escriben los investigadores en un informe técnico hoy.
Teniendo en cuenta que Windows Print Spooler se ejecuta con privilegios SYSTEM y cualquier usuario puede colocar archivos SHD en su carpeta, los investigadores intentaron encontrar una manera de escribir en el directorio system32, una tarea que requiere privilegios elevados. Hadar y Bar revelaron que podían modificar un archivo SHD para incluir el SID SYSTEM, agregarlo a la carpeta de la cola de impresión y reiniciar el equipo para que la cola realice la tarea con los derechos de la cuenta con más privilegios en Windows.
Junto con un archivo DLL arbitrario (wbemcomn.dll) oculto como un archivo SPL, copiaron el SHD mal hecho en la carpeta de la cola. Un reinicio más tarde, lograron la escalada de privilegios y escribieron su DLL en la carpeta System32. «Como ventaja, varios servicios de Windows cargaron nuestro archivo DLL (wbemcomn.dll) ya que no verificaron la firma e intentaron cargar el archivo DLL desde una ruta existente, lo que significa que también tenemos ejecución de código», dijeron los dos investigadores.