Windows 印刷スプーラーの修正プログラムが適用されていないバグは、マルウェアの管理者権限を与えます

パッチを回避するために研究者によって設立された方法は、マイクロソフトは、攻撃者に高い特権を持つ意地悪なコードを実行するためのルートを提供するWindows印刷サービスの問題に対処するためにリリースされました。CVE-2020-1048として記録された最初の障害は5月に最初の修正を受け取り、別の障害は今月のマイクロソフトからのセキュリティ更新プログラムのロールアウトに伴います。Peleg HadarとSafeBreachラボのトマーバーによって確実に設立され、報告されたCVE-2020-1048は、印刷プロセスを管理するサービスであるWindowsプリントスプーラーに影響を与えます。

それを回避することは追跡番号CVE-2020-1337を受け取った新しい欠陥として分類されています。修正プログラムは 8 月 11 日に利用可能になります。新しいバグの技術的な詳細はまだ非公開ですが、パッチのリリース後に発行され、2 つの暴露の悪用をリアルタイムで回避する方法を示す概念実証ミニフィルター ドライバーが発行されます。

マルウェアの植え付け

CVE-2020-1048を乱用するには、スプーラで解析された悪意のあるファイルを作成します。1 つのタイプは です。SHD (シャドウ) 形式とは、SID などの印刷ジョブのメタデータを保持します – ジョブを作成するユーザーの ID。もう一方は SPL (スプールファイル) で、印刷が必要なデータが入っています。「これは、データをスプーラに直接送信する便利な方法を提供し、(おそらく)解析され、他のコンポーネントでも使用されるので、非常に興味深いようでした」と、研究者は今日の技術レポートに書いています。

Windows 印刷スプーラーは、SYSTEM 特権で実行され、任意のユーザーが、そのフォルダーに SHD ファイルをドロップできることを考えると、研究者は、system32 ディレクトリに書き込む方法を見つけようとしました, 上げられた特権を必要とするタスク.Hadar と Bar は、SHD ファイルを変更して SYSTEM SID を含め、スプーラのフォルダーに追加し、スプーラが Windows で最も特権のあるアカウントの権限を持つタスクを実行できるようにコンピューターを再起動できることを明らかにしました。

SPL ファイルとしてクロークされた任意の DLL (wbemcomn.dll) と共に、不正な細工がされた SHD をスプーラーのフォルダにコピーしました。後で再起動すると、特権のエスカレーションが達成され、その DLL が System32 フォルダに書き込まれます。「ボーナスとして、複数のWindowsサービスは、署名を確認せず、存在しないパスからDLLをロードしようとしたため、DLL(wbemcomn.dll)をロードしました。