Windows打印服务中的漏洞允许恶意软件作为管理员运行

8月7日消息：研究人员发现了一种绕过微软发布的修补程序以解决Windows打印服务中的漏洞的方法，该方法为攻击者提供了一条以提升权限执行恶意代码的途径。

追踪到CVE-2020-1048，最初的缺陷在5月份得到了初步修复，而本月微软推出的安全更新也带来了另一个缺陷。

访问：

Win10专业版下载官网       Msdn Win10原版iso镜像 

新补丁即将面世

安全实验室的Peleg Hadar和Tomer Bar发现并负责任地报告，CVE-2020-1048影响Windows打印假脱机程序，这是管理打印过程的服务。

绕过它已被归类为一个新的漏洞，收到的跟踪号码CVE-2020-1337。修补程序将于8月11日推出。

这个新漏洞的技术细节仍然是私有的，但将在补丁发布后公布，同时还将提供一个概念上的迷你过滤器驱动程序，该驱动程序将展示如何实时防止利用这两个漏洞。

栽种恶意软件

利用CVE-2020-1048可以通过创建由假脱机程序解析的恶意文件来实现。一种类型是.HD(Shadow)格式，包含打印作业的元数据，比如SID--创建作业的用户ID。另一个是SPL(Spool文件)，需要打印的数据。

研究人员在今天的一份技术报告中写道：“这似乎非常有趣，因为它提供了一种将数据直接发送到假脱机程序的方便方式，它将(很可能)被解析并被其他组件使用。”

通过剖析打印过程并了解其工作原理，研究人员发现，当进程开始时，一个名为ProcessShadowJobs的函数处理假脱机文件夹中的所有SHD文件。

知道Windows打印假脱机程序以系统权限运行，而且任何用户都可以将SHD文件放入其文件夹中，研究人员试图找到一种向system 32目录写入的方法，这是一项需要提升权限的任务。

Hadar和Bar发现，他们可以修改SHD文件以包含系统SID，将其添加到假脱机程序的文件夹中，然后重新启动计算机，让假脱机程序使用Windows上最特权帐户的权限执行任务。

与伪装成SPL文件的任意DLL(wbemcomn.dll)一起，他们将巧尽心思构建的SHD复制到假脱机程序的文件夹中。在重新启动之后，它们实现了权限提升，并将它们的DLL写入到System 32文件夹。

这两名研究人员说：“额外的好处是，多个Windows服务加载了我们的DLL(wbemcomn.dll)，因为它们没有验证签名，并且试图从一个不存在的路径加载DLL，这意味着我们也得到了代码执行。”

这种利用漏洞的方法不再适用于更新的系统，但是安全漏洞研究人员发现，它们可以绕过微软的补丁程序，获得类似的结果。

虽然这两个问题都不允许对手妥协一个主机，但他们可以在攻击的第二阶段服务，并导致一个完整的系统接管。

Hadar和Bar将于周四在美国黑帽安全会议上介绍他们的发现。