Een kwetsbaarheid in de Windows print spooler kan een aanvaller die al toegang tot een computer heeft systeemrechten geven, waardoor hij volledige controle over het systeem krijgt. Ook is het mogelijk om een backdoor te installeren die zelfs na installatie van de patch aanwezig blijft. Microsoft heeft dinsdagavond een beveiligingsupdate voor het probleem uitgebracht en gebruikers en organisaties krijgen het advies die te installeren. Details over de kwetsbaarheid zijn nu openbaar gemaakt.
De Windows print spooler is verantwoordelijk voor het printen van documenten en is al jaren een onderdeel van het besturingssysteem. Tien jaar geleden kwam het wegens een ander beveiligingslek ook al eens in het nieuws. De beruchte Stuxnetworm bleek gebruik te maken van een zerodaylek in de print spooler om computers over te nemen. De nu verholpen kwetsbaarheid, die PrintDemon wordt genoemd, is minder ernstig.
Het beveiligingslek is alleen te misbruiken door een aanvaller die al toegang tot een computer heeft en code kan uitvoeren. Voor aanvallers is het echter een interessante kwetsbaarheid. In veel organisaties werken gebruikers namelijk met verminderde rechten. Wanneer een aanvaller erin slaagt om een dergelijke gebruiker met malware te infecteren kan hij alleen code en acties met de rechten van de betreffende gebruiker uitvoeren.
Aanvallers proberen dan ook om hun rechten op de besmette computer te verhogen, zodat ze meer mogelijkheden hebben en andere systemen in het netwerk kunnen aanvallen. Ransomwaregroepen passen deze tactiek vaak toe en het PrintDemon-lek kan hen hierbij helpen. De print spooler-service draait namelijk met systeemrechten. Via het nu ontdekte beveiligingslek is het mogelijk voor een aanvaller om zijn code via de print spooler uit te laten voeren. Aangezien de print spooler systeemrechten heeft wordt ook de code van de aanvaller met systeemrechten uitgevoerd.
Daarnaast is het mogelijk om op ongepatchte systemen een backdoor toe te voegen die aanwezig blijft zelfs wanneer de beveiligingsupdate is geïnstalleerd. De kwetsbaarheid werd ontdekt door onderzoekers Peleg Hadar en Tomer Bar van SafeBreach Labs. Onderzoekers Yarden Shafir en Alex Ionescu van Winsider hebben nu een uitgebreide analyse van de kwetsbaarheid online gezet, alsmede een proof-of-concept. Daarbij merken Shafir en Ionescu op dat ze nog verschillende andere kwetsbaarheden in de print spooler hebben gevonden die op een patch van Microsoft wachten.
Attackers can exploit CVE-2020-1048 with a single PowerShell command:
— Alex Ionescu (@aionescu) May 13, 2020
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
On an unpatched system, this will install a persistent backdoor, that won't go away *even after you patch*.
See https://t.co/9yMSWNM8VG for more details.
Reacties mogelijk gemaakt door CComment