Un bug senza patch nello spooler di stampa di Windows dà privilegi di amministratore malware

Un metodo è stato fondato dal ricercatore per eludere una patch, Microsoft rilasciato per risolvere un problema nei servizi di stampa di Windows che fornisce attaccanti una via per l’esecuzione di codice dispettoso con privilegi sollevati. Registrato come CVE-2020-1048, l’errore iniziale ha ricevuto una correzione iniziale a maggio e un altro è in arrivo con l’implementazione di questo mese di aggiornamenti della sicurezza da Microsoft. Fondato e riportato in modo affidabile da Peleg Hadar e Tomer Bar di SafeBreach Labs, CVE-2020-1048 colpisce Windows Print Spooler, il servizio che gestisce il processo di stampa.

Evadendo è stato classificato come un nuovo difetto che ha ricevuto il numero di tracciamento CVE-2020-1337. Una correzione sarà disponibile il 11 agosto.I dettagli tecnici per il nuovo bug sono ancora privati, ma saranno rilasciati dopo il rilascio della patch, insieme a un driver Mini-Filtro proof-of-concept che mostra come evitare in tempo reale l’abuso delle due esposizioni.

Piantare malware

L’abuso di CVE-2020-1048 può essere fatto creando file malevoli analizzati dallo spooler. Un tipo è . Formato SHD (Shadow) e contiene i metadati per il processo di stampa, ad esempio SID, ovvero l’ID dell’utente che crea il processo. L’altro è SPL (file di spooling), con i dati che devono essere stampati. “Questo sembrava molto interessante, in quanto fornisce un modo conveniente per inviare i dati direttamente allo spooler, che sarà (probabilmente) essere analizzato e utilizzato da altri componenti pure,”I ricercatori scrivono in una relazione tecnica oggi.

Considerando che Windows Print Spooler viene eseguito con privilegi DI sistema e qualsiasi utente può rilasciare i file SHD nella sua cartella, i ricercatori hanno cercato di trovare un modo per scrivere nella directory system32, un’attività che richiede privilegi sollevati. Hadar e Bar hanno rivelato che potevano modificare un file SHD per includere il SID di sistema, aggiungerlo alla cartella dello Spooler e riavviare il computer per lo Spooler per eseguire l’attività con i diritti dell’account più privilegiato su Windows.

Insieme a una DLL arbitraria (wbemcomn.dll) mascherata come un file SPL, hanno copiato il SHD malartigianale nella cartella dello spooler. Un riavvio in un secondo momento, hanno raggiunto l’escalation dei privilegi e hanno scritto la DLL nella cartella System32. “Come bonus, più servizi di Windows caricato la nostra DLL (wbemcomn.dll) come non hanno verificato la firma e ha cercato di caricare la DLL da un percorso non esistente, il che significa che abbiamo anche ottenuto l’esecuzione del codice” i due ricercatori hanno detto.