Уязвимостта в службата на печат на Windows има връзка с индустриалната атака Stuxnet

2
521

Уязвимостта CVE-2020-1048 в услугата за печат на операционната система Windows, която бе открита в модула Print Spooler се отличава от многобройните други уязвимости не по нивото на заплаха, а със своята история. Тази уязвимост бе открита в древен код, който по всичко личи, че не е обновяван още от времената на Windows NT4.

Формалното описание на проблема изглежда по следния начин: уязвимостта в Print Spooler позволява на локалния потребител да повиши своите привилегии до максимално ниво, понеже осигурява пълен достъп до файловата система. Миналия вторник, на 12-ти май експертите Алекс Йонеску и Яреден Шафир публикуваха подробно описание на този проблем. Освен техническите подробности, в края на публикуваната от тези специалисти статия се казва с прости думи, че това е невероятно лесен за използване бъг – системата може да бъде „атакувана“ буквално с две команди в PowerShell. Но това далеч не не е всичко – експертите ни препращат към един още по-стар код, който се използва за изпращането на факсове (!) и към индустриалната атака Stuxnet.

В публикацията подробно е описан механизма на работа на Print Spooler – системата, която е отговорна както за разпечатването на документите, така и за управлението на принтерите. Тя може да работи както с локалните, така и с мрежовите принтери, поддържа и разпечатването във файл. В статията е описан именно третия метод, включително и начина за добавяне на виртуален принтер чрез само една команда в PowerShell. Резултатът е следният:

В крайна сметка всичко се свежда до въвеждането на само една вълшебна команда, която е дадена в по-горния туит. Оказа се, че операционната система не проверява валидността на получателя на командите за принтера или принтерите, поради което има възможност за създаването на виртуален принтер, който обаче може да записва данни в системните файлове. Конкретно в този случай – в програмната библиотека ualapi.dll. Достатъчно е да се „разпечати“произволен изпълним код с този виртуален „принтер“, за да се получи пълен контрол върху системата.

В предложения пач програмистите на Windows са добавили проверка на порта за печат. По-точно, тази проверка си я имаше и по-рано, но се задействаше само при използването на Print Spooler чрез графичния интерфейс на операционната система. Но тази проверка не се задейства когато се работи от командния ред.

Това изследване има предистория. Още на 30 април Йонеску и Шафир са публикували статия за подобна атака, но чрез услугата за изпращане на факсове (помните ли какво беше това? Не помните? А Windows и досега поддържа работата с факсове). Още тогава изследователите са знаели за уязвимостта в Print Spooler, но е трябвало да изчакат излизането на съответните пачове.

През 2010 година в системата за печат на ОС Windows бе запушена подобна уязвимост – повишаване на привилегиите в системата с помощта на „разпечатване“ на данни във файл. Този проблем бе използван в рамките на кибератаката Stuxnet и бе добавен към хакерските комплекти. По принцип този проблем бе открит при изучаването на вредоносния код. След този инцидент отпреди 10 години защитата на Print Spooler бе засилена, но сега се разбра, че това е било недостатъчно. Излязлото преди няколко дни обновяване изцяло отстранява тази уязвимост.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари