时间:2020-05-15 08:53:21 来源:系统堂 游览量: 次
Windows打印后台处理程序中存在一个CVE-2020-1048漏洞,该漏洞可能允许恶意软件获得更高的特权。但自2020年5月12日起,该补丁已可用,并且滥用此漏洞有一些限制。这里是一个简短的概述,您需要了解什么,包括讨论该漏洞的严重性。
Windows Print Spooler漏洞CVE-2020-1048
CVE-2020-1048是Windows打印后台处理程序服务中的特权升级漏洞,它允许任意写入文件系统。成功利用此漏洞的攻击者可以以提升的系统特权执行任意代码。然后,攻击者可能会安装程序,查看,修改或删除数据,或创建具有完全用户权限的新帐户。
但是,要利用此漏洞,攻击者必须登录到受影响的系统并执行特制脚本或应用程序。Microsoft认为该漏洞可能不会被利用。但是,在2020年5月12日补丁程序日,该公司发布了适用于Windows 7至Windows 10的安全更新以及服务器对应版本,以解决该漏洞。更新列表可在此页面上找到。此外,本文结尾的我的文章中列出了2020年5月补丁日的Windows安全更新。
针对CVE-2020-1048的利用
我昨天在Twitter上已经阅读了Alex Ionescu的以下推文,就已经意识到了这个话题。
攻击者可以使用一个PowerShell命令利用CVE-2020-1048:
Add-PrinterPort-名称c: windows system32 ualapi.dll
在未修补的系统上,这将安装一个持久的后门,即使您进行了修补,该后门也不会消失。
有关更多详细信息,请参见https://t.co/9yMSWNM8VG。
-Alex Ionescu(@aionescu)2020年5月13日
PowerShell命令足以将DLL注册为PrinterPort。然后,经过操纵的ualapi.dll将以系统特权运行,并且可以操纵任何文件。以这种方式设置的后门程序将不会通过后续修补程序删除–这是一个有用的提示。Alex Ionescu 在windows-internals.com上描述了详细信息。还有这个带有PoC的GitHub页面。晚上,伍迪·莱昂哈德(Woody Leonhard)也在这里报道了它。