印刷剥离器的漏洞利用在Black Hat 2020上完全显示
在Stuxnet恶意软件攻击破坏了伊朗的核富集离心机后的十年后,微软仍未完全固定该病毒所利用的所有安全漏洞。
一对安全研究人员说,他们在今天的2020年虚拟黑色帽子2020年的发现中重新审视了他们的发现,他们惊讶地发现窗户中的缺陷打印后台处理程序使用新技术仍然可以利用组件。
Peleg Hadar和Safebreach实验室的Tomer Bars展示了他们如何通过其中一个缺陷来实现拒绝服务(DOS),以及当地的特权升级(LPE)作为系统,再加上另一种迄今未知的持久性技术 - 在Windows 10环境中。
打印挡板101
打印式阀门是Windows打印接口的主要组件。可执行文件检索并加载Windows打印机驱动程序并计划打印作业。
Hadar和Bar决定探查钢管,因为“这是唯一的机制由Stuxnet剥削在过去的十年中没有重新解释”。
他们发现,该组件在打印时部署了几个过程,在20年内几乎没有变化。他们告诉他们:“我们只能假设它没有任何已知问题。”每日swbeplay2018官网ig。
DOS到系统访问
研究人员决定通过在线轴文件(SPL)中的模糊阴影(SHD)文件开始研究,因为该格式缺乏正式的,最新的文档。(他们最终确实发掘了一些过时的SHD文档)
他们在一份记录研究的白皮书中说:“我们问了一些问题。”“负责解析此文件的组件是什么?它包含什么?它是加密的吗?如果我们更改此文件,我们会产生什么影响?”
该决定得到了证实,因为它使他们陷入了DOS脆弱性。
研究人员说,Fuzzing还透露,SHD文件中包含印刷工作者的SID,这意味着“任何用户都可以制作SHD文件”。
“由于剥离器以NT Authority \ System的速度运行,”这提示了这样一个假设,即如果打印载阀使他们“打印到文件,也许我们可以代表NT Aterional \ System'将恶意文件打印到System32上”。
但是,第一次尝试被RPC的模仿障碍所阻止。研究二重奏并没有避免,然后发现“印刷阀门将能够使用自己的系统令牌创建和执行我们的打印作业的用例”,并实现了“从有限用户到NT Intery \ System \ System和System和在System32中写了一个任意的DLL文件。
“作为奖励,多个Windows服务加载了我们的dll(wbemcomn.dll),因为他们没有验证签名并试图从不存在的路径加载DLL,这意味着我们也获得了代码执行。”
到野外
“一旦攻击者在Windows计算机上获得了有限的,无特权的初始代码执行(例如,通过使用网络钓鱼),他们将能够通过使用我们在打印剥离器机制中发现的漏洞来升级其特权,或者拒绝服务”研究人员告诉每日swbeplay2018官网ig在他们的黑色帽子演示之前。
Hadar和Bar说,在警告Microsoft之前,他们“不知道对漏洞的野外剥削”。
但是,他们“相信LPE脆弱性很容易通过多个命令利用”。
研究人员说:“我们已经看到了其中一位供应商的推文,其中提到了CVE-2020-1048的武装剥削,但我们无法确认。”
补丁旁路
他们报告了2020年1月的两个未援助漏洞,Microsoft于2020年5月修复了LPE缺陷(CVE-2020-1048)。
但是,一个月后的6月,他们“找到了一种绕过补丁并重新探索最新Windows版本的漏洞的方法。”
因此创建的漏洞(CVE-2020-1337)将于8月的补丁进行修补,此后作者表示将发布技术细节。
没有提及已安排的解决方案的DOS缺陷 -每日swbeplay2018官网ig已经要求研究人员澄清。
LPE缺陷存在于Windows 7和10(32位和64位)之间的Windows版本中。DOS缺陷是一个甚至较旧的错误,会影响回到Windows 2000的发布。
研究人员建议,组织还可以通过验证其系统是最新且完全修补的,从而最大程度地降低了风险。
您可以在Safelabs上找到假源源代码和概念验证GitHub存储库。
