PrintDemon是一个攻击 Windows 系统的漏洞。该漏洞是在 Windows Print Spooler 中发现的。该漏洞是由 SafeBreach Labs 的两名研究人员 Peleg Hadar 和 Tomer Bar 首次发现并报告的。但这个名字是由研究人员 Alex Ionescu 和 Yarden Shafir 创造的。 Microsoft 将其称为“ CVE-2020-1048 -Windows Print Spooler Elevation of Privilege Vulnerability ”并将其描述为:
” An elevation of privilege vulnerability exists when the Windows Print Spooler service improperly allows arbitrary writing to the file system. An attacker who successfully exploited this vulnerability could run arbitrary code with elevated system privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted script or application.”
什么是打印后台处理程序?
打印后台处理程序是管理打印过程的打印界面的重要组件之一。它是一个可执行文件。检索到正确的驱动程序位置后,它会加载驱动程序。调度打印作业也是打印假脱机程序执行的另一个管理函数。增强型图元文件 (EMF) 是打印作业的默认数据类型。打印后台处理程序支持的其他数据类型是 ASCII 文本和原始数据。
PrintDemon 有多脆弱?
根据研究人员发布的报告,此漏洞将影响可追溯到 1996 年的所有 Windows 版本。 在研究员 Alex Ionescu 看来,攻击者可以通过以下单个 PowerShell 命令来利用此漏洞:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
他声称在未打补丁的系统上,上述 PowerShell 命令将安装一个持久的后门,即使我们尝试打补丁也不会成功。但是根据 Rapid7 研究人员 Brendan Watters 和其他一些博客的说法,不可能通过一行注释来利用此漏洞。
此漏洞无法通过 Internet 远程触发。只有当攻击者已经登录到目标系统时,他才能利用目标系统。正如微软所说,“对系统具有用户级访问权限的攻击者可以使用提升的系统权限运行任意代码。然后黑客可以安装程序;查看、修改或删除数据;或创建具有完全用户权限的新帐户。
预防或修复
Microsoft 已修补该漏洞,并通过 Microsoft 2020 年 5 月补丁星期二发布了修复程序。对于其他更新,用户将自动收到补丁。否则,用户可能会手动下载修复程序以快速保护他们的系统。