首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-1048 | PrintDemon本地提權漏洞通告

發布時間 2020-05-15

0x00 漏洞概述


CVE   ID

CVE-2020-1048

   

2020-05-15

   

LPE

   

高危

遠程利用

影響范圍

1996年以來發布(Windows NT 4)的所有Windows版本


0x01 漏洞詳情



2020年5月12日安全研究人員Alex Ionescu和Yarden Shafir發布漏洞報告,在Windows打印服務中發現了一個安全漏洞(CVE-2020-1048),可以用來劫持Printer Spooler機制,該漏洞影響自1996年以來發布(Windows NT 4)的所有Windows版本。

CVE-2020-1048是Windows 打印后臺處理程序特權提升漏洞。如果 Windows 打印后臺處理程序服務器不正確地允許任意寫入文件系統,則會存在特權提升漏洞。成功利用此漏洞的攻擊者可以使用提升的系統特權運行任意代碼。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。若要利用此漏洞,攻擊者必須登錄到受影響的系統并運行經特殊設計的腳本或應用程序。

研究人員將PrintDemon稱為“本地特權升級”(LPE)漏洞,即使攻擊者只有普通用戶權限,也可以通過PowerShell命令等方式輕易獲取系統的管理員權限。攻擊者可以初始化一個打印操作,故意使Print Spooler服務奔潰,然后再恢復打印任務,此時打印操作就以SYSTEM權限運行了,可以覆蓋系統中的任意文件。

攻擊者可以通過一個PowerShell命令利用CVE-2020-1048:

Add-PrinterPort -Name c:\windows\system32\ualapi.dll

在未安裝補丁的系統中,運行上述命令會安裝一個永久后門,該后門即使修復后也不會消失。

POC: https://github.com/ionescu007/PrintDemon


0x02 處置建議


微軟已經在5月的微軟補丁日發布了該漏洞的補丁,由于該漏洞非常容易被利用,研究人員建議用戶盡快安裝補丁。

臨時措施:通過PowerShell的Get-PrinterPorts或HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports 來掃描基于文件的端口,尤其是那些.DLL或.EXE擴展的文件路徑。


0x03 相關新聞


https://www.zdnet.com/article/printdemon-vulnerability-impacts-all-windows-versions/#ftag=RSSbaffb68


0x04 參考鏈接


https://windows-internals.com/printdemon-cve-2020-1048/


0x05 時間線


2020-05-15 VSRC發布漏洞通告




上一篇 下一篇