دو متخصص امنیتی یک باگ امنیتی خطرناک در سرویس پرینت ویندوز را شناسایی و در کنفرانس امنیتی Black Hat اعلام نمودند که تمامی نسخههای ویندوز که از سال 1996 تولید شدهاند را در برمیگیرد.
شناسه آسیبپذیری:
CVE-2020-1048, CVE-2020-1070
درجه آسیبپذیری:
For all vulnerabilities:
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Base Score: 7.8 High
نسخههای آسیبپذیر:
All Windows versions going back to Windows NT 4, released in 1996.
نیازمند تعامل کاربر: خیر
سال شناسایی: ۲۰۲۰
توضیحات:
آسیبپذیری با نام PrintDemon در قسمت Windows Print Spooler قرار دارد و وظیفه اصلی آن مدیریت عملکرد پرینت است. این سرویس، دیتا را از طریق پورت usb به پرینتر متصل و به آن منتقل می کند و یا به پورت TCP برای پرینتر در شبکه لوکال یا اینترنت و یا از طریق فایل لوکال به پرینتر میفرستد. درحالتیکه کاربر میخواهد از این سرویس برای ذخیره فایل استفاده نماید. باگدشت در این صفحه به بررسی باگ خطرناک PrintDemon پرداخت. امیدواریم بهره لازم را برده باشید.
محققان امنیتی الکس لونسکو (Alex lonescu) و یاردن شفیر(Yarden Shafir) اعلام کردند که این باگ را در کامپوننتهای قدیمی ویندوز پیدا کردند که میتواند مکانیزم داخلی Printer Spooler را در اختیار بگیرند.
اکسپلویت آسیبپذیری این باگ را نمیتوان از راه دور انجام داد، بنابراین نمیتوان به صورت تصادفی و از طریق اینترنت، سیستمهای ویندوز را هک کنند.
PrintDemon را محققان امنیتی به نام آسیبپذیری بر روی LPE (Local Privilege Escalation) میشناسند. به این معنی است که اگر حمله کننده حتی یک دسترسی کوچک در نرمافزار یا سیستم داشته باشد، حتی در حالت سطح دسترسی کاربری، میتواند یک دستور پاورشل را اجرا نماید و سپس سطح دسترسی مدیر سیستم را بدست میآورد. اکسپلویت آسیبپذیری، به دلیل نحوه عملکرد سرویس Print Spooler صورت میگیرد. این سرویس برای تمامی نرم افزارهایی که میخواهند از پرینت استفاده نمایند در دسترس است. بنابراین مهاجم می تواند یک Print job ایجاد نماید و آن را بر روی یک فایل مانند DLLها ذخیره نماید.
حمله کننده میتواند عملیات پرینتر را ایجاد کند و به عمد عملیات سرویس Print Spooler را وسط کار از کار بندازد و دوباره آن را ادامه دهد. ولی این بار با سطح دسترسی SYSTEM عملیات را اجرا میکند و میتواند روی هر فایل سیستمی OS دوباره نویسی کند.
طبق گفتههای محققین، در نسخههای قدیمی با یک خط کد PowerShell را میتوان اکسپلویت کرد و در نسخههای جدیدتر اکسپلویت مقداری پیچیدهتر میشود. در نسخههای بهروز نشده میتواند یک درپشتی دائمی ایجاد کرد به نحوی که اگرسیستم بهروز رسانی شود این درپشتی باقی میماند.
برای این آسیبپذیری مایکروسافت بهروز رسانی PrintDemon را منتشر کرد و به همین خاطر لونسکو و شفیر مجاز به ارایه جزئیات اکسپلویت باگ شدند. شواهد این آسیب پذیری در GitHub نیز منتشر شده است که به منظور کمک به مدیران امنیت برای امن سازی ارایه شده است.
باگدشت در این صفحه به بررسی باگ خطرناک PrintDemon پرداخت. امیدواریم بهره لازم را برده باشید.
