Αν και η Microsoft επιδιορθώνει προσεκτικά εκατοντάδες σφάλματα κάθε μήνα, και δημιουργεί κάμποσα νέα κάθε φορά……πάντα της ξεφεύγουν κάποια παλιά. Ενώ τα περισσότερα από τα σφάλματα απαιτούν επείγουσα προσοχή γιατί ουσιαστικά μόλις δημιουργήθηκαν, μερικές φορές, οι ερευνητές ανακαλύπτουν σφάλματα που υπάρχουν εδώ και δεκαετίες. Για άλλη μια φορά, μια ευπάθεια του PrintDemon έφτασε στο προσκήνιο που υπήρχε για πάνω από δύο δεκαετίες!
Η ευπάθεια του PrintDemon στα Windows
Οι ερευνητές έχουν εντοπίσει μια σοβαρή ευπάθεια στο στοιχείο Windows Print Spooler που είναι υπεύθυνο για τη διαχείριση της διαδικασίας εκτύπωσης. Με την ονομασία PrintDemon, η ευπάθεια επηρεάζει όλα τα συστήματα Windows που χρονολογούνται από το 1996.
Το σφάλμα τράβηξε για πρώτη φορά την προσοχή των ερευνητών SafeBreach Labs, Peleg Hadar και Tomer Bar.
Βέβαια και οι ερευνητές Yarden Shafir & Alex Ionescu έχουν μοιραστεί τις δικές τους λεπτομέρειες σχετικά με το σφάλμα σε μια ανάρτηση ιστολογίου.
Εν συντομία, υπήρχε μια ευπάθεια κλιμάκωσης τοπικών δικαιωμάτων σε αυτό το στοιχείο των Windows που παρέμεινε «σε μεγάλο βαθμό αμετάβλητο από τα Windows NT 4».
Η εκμετάλλευση του bug στην πραγματικότητα είναι λιγότερο πιθανό καθώς το σφάλμα δεν μπορεί να βοηθήσει σε απομακρυσμένες επιθέσεις. Ωστόσο, σε τοπικές επιθέσεις, το σφάλμα έχει τεράστιες δυνατότητες. Δεδομένου ότι υπάρχει στην υπηρεσία «Εκτύπωση», κάτι που σχετίζεται με σχεδόν κάθε εφαρμογή σε ένα σύστημα, ένας πιθανός εισβολέας μπορεί εύκολα να εκμεταλλευτεί την ευπάθεια να αποκτήσει αυξημένα δικαιώματα (συμπεριλαμβανομένου του διαχειριστή) στη συσκευή.
Στην πραγματικότητα, ο Ionescu εξήγησε σε ένα tweet ότι το σφάλμα μπορεί να οδηγήσει σε επίμονο αντίκτυπο παρά την ενημέρωση κώδικα.
Attackers can exploit CVE-2020-1048 with a single PowerShell command:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
On an unpatched system, this will install a persistent backdoor, that won’t go away *even after you patch*.
See https://t.co/9yMSWNM8VG for more details.
— Alex Ionescu (@aionescu) May 13, 2020
Το δίδυμο SafeBreach Labs θα παρουσιάσει τα ευρήματά του στο επερχόμενο BlackHat USA 2020. Ωστόσο, η Ionescu έχει μοιραστεί ένα PoC στο GitHub.
Το patch που το διορθώνει
Με τις ενημερώσεις Patch Tuesday αυτού του μήνα, η Microsoft κυκλοφόρησε την επιδιόρθωση για αυτήν την ευπάθεια, CVE-2020-1048. Περιγράφοντας τις λεπτομέρειες σε μια συμβουλευτική, η Microsoft δήλωσε,
Υπάρχει αύξηση της ευπάθειας δικαιωμάτων όταν η υπηρεσία Windows Print Spooler επιτρέπει εσφαλμένα την αυθαίρετη εγγραφή στο σύστημα αρχείων. Ένας εισβολέας που εκμεταλλεύτηκε επιτυχώς αυτήν την ευπάθεια θα μπορούσε να εκτελέσει αυθαίρετο κώδικα με αυξημένα δικαιώματα συστήματος. Ένας εισβολέας θα μπορούσε τότε να εγκαταστήσει προγράμματα. προβολή, αλλαγή ή διαγραφή δεδομένων. ή δημιουργήστε νέους λογαριασμούς με πλήρη δικαιώματα χρήστη.
Ωστόσο, οι χρήστες θα λάβουν αυτόματα τις ενημερώσεις κώδικα με άλλες ενημερώσεις.
[signoff]
Πηγή: https://latesthackingnews.com/
