У Windows виявлена ​​небезпечна вразливість

Дослідники безпеки Алекс Іонеску (Alex Ionescu) і Ярден Шафір (Yarden Shafir) опублікували подробиці про уразливість в диспетчері друку Windows, що зачіпає всі версії ОС, починаючи з випущеної з 1996 році Windows NT 4.

Уразливість CVE-2020-1048, названа дослідниками PrintDemon, присутній в відповідає за друк компоненті Windows Print Spooler. Диспетчер відправляє дані для друку на USB / паралельний порт фізичного принтера, TCP-порт принтера в локальній мережі або в інтернеті або локального файла (в разі, якщо користувач хоче відкласти друк).

Виявлена ​​дослідниками вразливість локального підвищення привілеїв дозволяє зламати внутрішній механізм Print Spooler. Зловмисник з доступом до додатка або Windows-ПК навіть на рівні звичайного користувача може запустити непривілейованих PowerShell-команду і отримати привілеї адміністратора на атакується системі.

Уразливість існує через принципу роботи диспетчера. Оскільки Print Spooler повинен бути доступним для будь-якої програми, яка бажає надрукувати файл, він доступний для всіх додатків на системі без будь-яких обмежень. Зловмисник може ініціювати процес друку, навмисне викликати аварійне завершення роботи Print Spooler, а потім відновити її, але тоді процес друку буде запущений з привілеями системи з можливістю читати і записувати файли в будь-якому місці операційної системи.

Для експлуатації уразливості в актуальних версіях Windows досить одного рядка PowerShell, але для більш старих потрібно щось складніше. Патч для проблеми був випущений в рамках «вівторка виправлень» Microsoft 13 травня 2020 року.

Уразливість була виявлена фахівцями компанії SafeBreach Labs Пелег Хадаром (Peleg Hadar) і Томер Баром (Tomer Bar), який повідомив про неї Microsoft. Алекс Іонеску також опублікував PoC-експлоїт для PrintDemon.