Niezałatany błąd w buforze wydruku systemu Windows daje uprawnienia administratora złośliwego oprogramowania

Metoda została założona przez badacza, aby uniknąć poprawki, Microsoft wydany w celu rozwiązania problemu w usługach drukowania systemu Windows, który zapewnia atakującym trasę do wykonywania złośliwy kod z podniesionymi uprawnieniami. Nagrany jako CVE-2020-1048, początkowy błąd otrzymał początkową poprawkę w maju, a kolejna nadchodzi wraz z wprowadzeniem w tym miesiącu aktualizacji zabezpieczeń od firmy Microsoft. Firma CVE-2020-1048, założona i zgłoszona rzetelnie przez Peleg Hadar i Tomer Bar of SafeBreach Labs, wpływa na bufor wydruku systemu Windows, usługę zarządzającą procesem drukowania.

Unikanie go zostało sklasyfikowane jako nowa wada, która otrzymała numer śledzenia CVE-2020-1337. Poprawka będzie dostępna w dniu 11 sierpnia.Szczegóły techniczne nowego błędu są nadal prywatne, ale zostaną wydane po wydaniu poprawki, wraz z proof-of-concept mini-filter sterownik, który pokazuje, jak uniknąć w czasie rzeczywistym nadużywania dwóch ekspozycji.

Sadzenie złośliwego oprogramowania

Nadużywanie CVE-2020-1048 można zrobić, tworząc złowrogie pliki analizowane przez bufor. Jednym z typów jest . ShD (Shadow) format i przechowuje metadane dla zadania drukowania, takich jak SID – identyfikator użytkownika tworzącego zadanie. Drugi to SPL (plik buforu), z danymi, które wymagają do wydrukowania. „Wydawało się to bardzo interesujące, ponieważ zapewnia wygodny sposób wysyłania danych bezpośrednio do bufora, który (prawdopodobnie) będzie analizowany i używany również przez inne komponenty”, piszą dziś naukowcy w raporcie technicznym.

Biorąc pod uwagę, że bufor wydruku systemu Windows działa z uprawnieniami SYSTEM i każdy użytkownik może upuścić pliki SHD do swojego folderu, badacze próbowali znaleźć sposób zapisu w katalogu system32, zadanie, które wymaga podniesionych uprawnień. Hadar i Bar ujawnili, że mogą zmodyfikować plik SHD, aby uwzględnić IDENTYFIKATOR SID systemu, dodać go do folderu buforu i ponownie uruchomić komputer dla bufora, aby wykonać zadanie z prawami najbardziej uprzywilejowanego konta w systemie Windows.

Wraz z dowolną biblioteką DLL (wbemcomn.dll) zamaskowana jako plik SPL, skopiowali malcrafted SHD do folderu buforu. Później uruchomili ponownie, osiągnęli eskalację uprawnień i napisali bibliotekę DLL do folderu System32. „Jako bonus, wiele usług systemu Windows załadował nasz DLL (wbemcomn.dll), ponieważ nie zweryfikować podpisu i próbował załadować DLL z nieistniejącej ścieżki, co oznacza, że mamy również wykonanie kodu” dwóch badaczy powiedział.