首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-1048 | PrintDemon外地提权误差通告

宣布时间 2020-05-15

0x00 误差概述

CVE ID	CVE-2020-1048	时间	2020-05-15
类型	LPE	等级	高危
远程使用	否	影响规模	自1996年以来宣布(Windows NT 4)的所有Windows版本

0x01 误差详情

Z6·尊龙凯时「中国区」官方网站

2020年5月12日清静研究职员Alex Ionescu和Yarden Shafir宣布误差报告，，，，，，，在Windows打印效劳中发明了一个清静误差（CVE-2020-1048），，，，，，，可以用来挟制Printer Spooler机制，，，，，，，该误差影响自1996年以来宣布(Windows NT 4)的所有Windows版本。。。。。。

CVE-2020-1048是Windows 打印后台处置惩罚程序特权提升误差。。。。。。若是 Windows 打印后台处置惩罚程序效劳器不准确地允许恣意写入文件系统，，，，，，，则会保存特权提升误差。。。。。。乐成使用此误差的攻击者可以使用提升的系统特权运行恣意代码。。。。。。攻击者可随后装置程序；；；；；；；审查、更改或删除数据；；；；；；；或者建设拥有完全用户权限的新帐户。。。。。。若要使用此误差，，，，，，，攻击者必需登录到受影响的系统并运行经特殊设计的剧本或应用程序。。。。。。

研究职员将PrintDemon称为“外地特权升级”（LPE）误差，，，，，，，纵然攻击者只有通俗用户权限，，，，，，，也可以通过PowerShell下令等方法容易获取系统的治理员权限。。。。。。攻击者可以初始化一个打印操作，，，，，，，居心使Print Spooler效劳奔溃，，，，，，，然后再恢复打印使命，，，，，，，此时打印操作就以SYSTEM权限运行了，，，，，，，可以笼罩系统中的恣意文件。。。。。。

攻击者可以通过一个PowerShell下令使用CVE-2020-1048：

Add-PrinterPort -Name c:\windows\system32\ualapi.dll

在未装置补丁的系统中，，，，，，，运行上述下令会装置一个永世后门，，，，，，，该后门纵然修复后也不会消逝。。。。。。

POC: https://github.com/ionescu007/PrintDemon

0x02 处置惩罚建议

微软已经在5月的微软补丁日宣布了该误差的补丁，，，，，，，由于该误差很是容易被使用，，，，，，，研究职员建议用户尽快装置补丁。。。。。。

暂时步伐：通过PowerShell的Get-PrinterPorts或HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports 来扫描基于文件的端口，，，，，，，尤其是那些.DLL或.EXE扩展的文件路径。。。。。。

0x03 相关新闻

https://www.zdnet.com/article/printdemon-vulnerability-impacts-all-windows-versions/#ftag=RSSbaffb68

0x04 参考链接

https://windows-internals.com/printdemon-cve-2020-1048/

0x05 时间线

2020-05-15 VSRC宣布误差通告

Z6·尊龙凯时「中国区」官方网站

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

CVE-2020-1048 | PrintDemon外地提权误差通告

关于Z6尊龙凯时

解决计划

联系Z6尊龙凯时

7*24小时效劳热线