Windows Print Spooler-Bug erlaubt Malware Admin-Privilegien

Publiziert am 7. August 2020 von Günter Born

[English]Sicherheitsforscher haben einen Weg gefunden, um den Print Spooler in Windows zu missbrauchen und Programmen Administrator-Privilegien zuzuweisen. Das kann durch Malware ausgenutzt werden, um sich auf dem System einzunisten. Für den Bug gibt es bisher keinen Patch, da das Update vom Mai 2020 für CVE-2020-1048 umgangen werden kann.

Anzeige

Die Schwachstelle CVE-2020-1048

CVE-2020-1048 ist eine Elevation of Privilege Schwachstelle im Windows Print Spooler-Dienst. Diese tritt auf, da der  Windows-Druckspooler-Dienst fälschlicherweise willkürliches Schreiben in das Dateisystem zulässt. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte beliebigen Code mit erhöhten Systemprivilegien ausführen. Dann könnte er Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Microsoft beschreibt die Schwachstelle in diesem Dokument und hat am 12. Mai 2020 Sicherheitsupdates für Windows 7 bis Windows 10 veröffentlicht (siehe u.a. den Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server (12. Mai 2020). Es sieht aber so aus, als ob Microsoft zu kurz gesprungen ist.

Patch für CVE-2020-1048 lässt sich umgehen

Sicherheitsforscher konnten nun zeigen, dass sich der Patch, den Microsoft im Mai 2020 für CVE-2020-1048 veröffentlicht hat, umgehen lässt. Der Fehler in den Windows-Druckdiensten lässt sich weiter zur Ausführung von bösartigem Code mit erhöhten Privilegien nutzen. Die Schwachstelle hat eine neue CVE-Nummer CVE-2020-1337 erhalten. Ein Fix in Form eines Sicherheitsupdates wird von Microsoft für den 11. August 2020 erwartet. Die technischen Details für den neuen Bug sind noch nicht öffentlich. Die Offenlegung erfolgt zusammen mit einem Proof-of-Concept nach der Veröffentlichung des Patches.

Bleeping Computer hat in diesem Beitrag ein paar weitere Details zusammen getragen. heise streift das Thema ebenfalls in einem Beitrag, wie man nachfolgendem Tweet entnehmen kann.


Ähnliche Artikel:
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
Windows Print-Spooler: Exploit für CVE-2020-1048
Windows Server 2008 R2: 0patch fixt SIGRed-Schwachstelle
Patchday: Updates für Windows 7/8.1/Server (12. Mai 2020
Patchday: Windows 10-Updates (12. Mai 2020)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 7, Windows 8.1, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.