Windows打印后台处理程序中存在一个CVE-2020-1048漏洞，该漏洞可能允许恶意软件获得更高的特权。但自2020年5月12日起，该补丁已可用，并且滥用此漏洞有一些限制。这里是一个简短的概述，您需要了解什么，包括讨论该漏洞的严重性。

　　Windows Print Spooler漏洞CVE-2020-1048

　　CVE-2020-1048是Windows打印后台处理程序服务中的特权升级漏洞，它允许任意写入文件系统。成功利用此漏洞的攻击者可以以提升的系统特权执行任意代码。然后，攻击者可能会安装程序，查看，修改或删除数据，或创建具有完全用户权限的新帐户。

　　但是，要利用此漏洞，攻击者必须登录到受影响的系统并执行特制脚本或应用程序。Microsoft认为该漏洞可能不会被利用。但是，在2020年5月12日补丁程序日，该公司发布了适用于Windows 7至Windows 10的安全更新以及服务器对应版本，以解决该漏洞。更新列表可在此页面上找到。此外，本文结尾的我的文章中列出了2020年5月补丁日的Windows安全更新。

　　针对CVE-2020-1048的利用

　　我昨天在Twitter上已经阅读了Alex Ionescu的以下推文，就已经意识到了这个话题。

　　攻击者可以使用一个PowerShell命令利用CVE-2020-1048：

　　Add-PrinterPort-名称c： windows system32 ualapi.dll

　　在未修补的系统上，这将安装一个持久的后门，即使您进行了修补，该后门也不会消失。

　　有关更多详细信息，请参见https://t.co/9yMSWNM8VG。

　　-Alex Ionescu(@aionescu)2020年5月13日

　　PowerShell命令足以将DLL注册为PrinterPort。然后，经过操纵的ualapi.dll将以系统特权运行，并且可以操纵任何文件。以这种方式设置的后门程序将不会通过后续修补程序删除–这是一个有用的提示。Alex Ionescu 在windows-internals.com上描述了详细信息。还有这个带有PoC的GitHub页面。晚上，伍迪·莱昂哈德(Woody Leonhard)也在这里报道了它。