fck编辑器漏洞利用_研究人员在Windows Print Spooler中发现两个0day漏洞

微软在2020年5月修复了CVE-2020-1048，该漏洞是存在于Windows Print Spooler服务中的一个提权漏洞，是SafeBreach Labs的Peleg Hadar和Tomer Bar发现的。 一个月后，这两名研究人员发现了一个方法，可绕过该补丁，在最新的Windows版本上重新利用该漏洞。微软为该漏洞分配了一个新的CVE编号CVE-2020-1337，并会在2020年8月周二补丁日修复该漏洞。他们还发现了影响该服务的一个拒绝服务漏洞，但是该漏洞不会被修复。 Print Spooler是什么？ “打印接口的主要组件是print spooler。print spooler是一个管理打印进程的可执行文件。打印管理涉及检索正确的打印机驱动程序的位置，加载该驱动，将高级函数调用假脱机到打印作业中，调度打印作业进行打印等。该spooler在系统启动时被加载，并继续运行，直到操作系统被关闭为止。”微软解释称。 “该Print Spooler代码至少已有20年之久。一般而言，更老的代码包含旧漏洞，由于安全漏洞的存在，老代码可能更危险，但事实上，在过去的20多年中，在spooler服务中仅发现了少数几个漏洞。” 其中一个为CVE-2010-2729，多年前被Stuxnet病毒利用的提权漏洞。另一个为CVE-2020-1048，2020年5月修复的前述Print Spooler漏洞。 新发现的Windows Print Spooler 0-day漏洞 Hadar和Bar在2020年美国黑帽大会上分享了关于这两个新发现的0-day漏洞的更多信息。 CVE-2020-1337是一个本地提权漏洞，影响从Windows7至Windows 10(32位和64位)的所有Windows版本。 Hadar表示，攻击者除了可利用该漏洞获得SYSTEM权限，还可使用下列步骤，利用该漏洞获取持久性。

• 通过将shd和spl文件写入该spooler文件夹，利用恶意代码在操作系统每次重启时触发该漏洞。
• 在操作系统重启后，spooler服务会处理shd和spl文件，该漏洞会被利用，spooler会将恶意软件的dll重写入System32文件夹下的某个路径，该路径容易受到dll劫持影响，且会被系统进程加载。

该本地拒绝服务漏洞是个旧漏洞。该漏洞影响Windows 2000至Windows 10(32位和64位)的所有Windows版本。

由于微软表示该漏洞“不满足安全更新的服务要求”，该漏洞未得到CVE编号，也不会被修复。 研究人员已经发布了CVE-2020-1048和该spooler拒绝服务漏洞的PoC，在有可用的补丁后，将会发布CVE-2020-1337的PoC。 用于缓解和深入研究的工具 研究人员还发布了一个微过滤内核驱动的PoC，用于缓解提权漏洞的影响(这些漏洞源于对文件系统的任意写入。) “此类任意文件写入漏洞(在本地提权的上下文中)的根源之一在于无权限的用户被允许直接写入以NT AUTHORITY\SYSTEM权限运行的服务直接处理的文件夹。”他们解释道。 该驱动演示了如何实时阻止利用此类漏洞(虽然，研究人员警告称，该代码仅用于演示意图，不应被用于生产环境中)。 他们还为010十六进制编辑器提供了一个SHD文件模板，以帮助其他研究人员开始他们自己对Print Spooler机制的研究。 消息来源： Help Net Security ，编 译：群智分析平台，转载请标明“转自群智分析平台”。

END