CVE-2020-1048 | PrintDemon本地提权漏洞通告

发布时间 2020-05-15

0x00 漏洞概述


CVE   ID

CVE-2020-1048

   

2020-05-15

   

LPE

   

高危

远程利用

影响范围

1996年以来发布(Windows NT 4)的所有Windows版本


0x01 漏洞详情



2020年5月12日安全研究人员Alex Ionescu和Yarden Shafir发布漏洞报告,在Windows打印服务中发现了一个安全漏洞(CVE-2020-1048),可以用来劫持Printer Spooler机制,该漏洞影响自1996年以来发布(Windows NT 4)的所有Windows版本。

CVE-2020-1048是Windows 打印后台处理程序特权提升漏洞。如果 Windows 打印后台处理程序服务器不正确地允许任意写入文件系统,则会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的系统特权运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。若要利用此漏洞,攻击者必须登录到受影响的系统并运行经特殊设计的脚本或应用程序。

研究人员将PrintDemon称为“本地特权升级”(LPE)漏洞,即使攻击者只有普通用户权限,也可以通过PowerShell命令等方式轻易获取系统的管理员权限。攻击者可以初始化一个打印操作,故意使Print Spooler服务奔溃,然后再恢复打印任务,此时打印操作就以SYSTEM权限运行了,可以覆盖系统中的任意文件。

攻击者可以通过一个PowerShell命令利用CVE-2020-1048:

Add-PrinterPort -Name c:\windows\system32\ualapi.dll

在未安装补丁的系统中,运行上述命令会安装一个永久后门,该后门即使修复后也不会消失。

POC: https://github.com/ionescu007/PrintDemon


0x02 处置建议


MicroSoft已经在5月的MicroSoft补丁日发布了该漏洞的补丁,由于该漏洞非常容易被利用,研究人员建议用户尽快安装补丁。

临时措施:通过PowerShell的Get-PrinterPorts或HKEY_LOCAL_MACHINE\SOFTWARE\微软\Windows NT\CurrentVersion\Ports 来扫描基于文件的端口,尤其是那些.DLL或.EXE扩展的文件路径。


0x03 相关资讯


https://www.zdnet.com/article/printdemon-vulnerability-impacts-all-windows-versions/#ftag=RSSbaffb68


0x04 参考链接


https://windows-internals.com/printdemon-cve-2020-1048/


0x05 时间线


2020-05-15 VSRC发布漏洞通告