PrintDemon:Windows所有版本系统本地提权漏洞

澳门十大网赌网址:2020-05-16 澳门十大正规网站: 4957 次
华盟君引言“前两天,国外的两个安全研究人员在Windows打印服务中发现了一个提权漏洞——PrintDemon,该漏洞影响从1996年(Windows NT 4)以来发布的所有版本,CVE编号CVE-2020-1048”。
这个漏洞怎么回事呢?
它存在于打印后台处理服务Print Spooler之中,攻击者只要进入应用或者Windows机器中,就算只有普通用户权限,也可以通过PowerShell命令等方法轻易获取到系统管理员权限。
任何在计算机中打印文件的应用都可以直接访问Print Spooler服务不会存在限制。攻击者可以创建并初始化一个打印操作,然后估计让
攻击者可以初始化一个打印操作,然后故意使Print Spooler服务崩溃,然后再恢复打印任务,此时打印操作就以管理员权限运行了,可以覆写系统中的任意文件。
在目前这些新的系统上利用该漏洞只需一行PowerShell即可。如果是老版本的系统则需要做出一些修改。而且有该漏洞的系统上如果被安了后门的话,就算以后修复了后门也不会消失。
其中一位研究员还在github上发布了PoC代码用来帮助技术人员测试和寻找解决办法。

PoC:https://github.com/ionescu007/PrintDemon

这个漏洞怎么办?
虽然说该漏洞影响非常大,但是该漏洞无法通过互联网远程利用来入侵Windows客户端,因此无法利用该漏洞在互联网上随机地黑掉Windows系统。
而且,MicroSoft在漏洞被公布之后及时修复并在5月份的MicroSoft补丁日发布了补丁。MicroSoft建议用户尽快安装补丁,不然该漏洞非常容易被利用。
此外,还可以通过PowerShell的Get-PrinterPorts或复制
HKEY_LOCAL_MACHINE\SOFTWARE\微软\WindowsNT\CurrentVersion\Ports 
来扫描基于文件的端口,尤其是那些.DLL或.EXE扩展的文件路径中。
该漏洞应该在前两天的自动更新里被修复,大家可以自测一下。而且建议有些主动暂停系统更新的老哥抓紧打补丁,不要中招。
研究人员完整报告:

https://windows-internals.com/printdemon-cve-2020-1048/

 

转自:黑白之道

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图