[English]Ein Sicherheitsforscher hat Details zur Schwachstelle CVE-2020-1337 (Windows Print Spooler Elevation of Privilege Vulnerability) offen gelegt und gezeigt, wie sich diese ausnutzen lässt. Die Schwachstelle betrifft Windows 7 bis Windows 10 und die Server Pendants; ein Update steht seit dem 11. August 2020 zur Verfügung.
Anzeige
Die Schwachstelle CVE-2020-1337
Im Windows Printer-Spooler-Dienst gibt es eine Schwachstelle, die eine Erhöhung der Privilegien ermöglicht. Ich hatte bereit im Blog-Beitrag Windows-Schwachstelle CVE-2020-1337 wird heute gepatcht kurz auf das neu entdeckte Problem im Windows Druckerspooler hingewiesen. Microsoft schreibt zur Schwachstelle CVE-2020-1337:
CVE-2020-1337 | Windows Print Spooler Elevation of Privilege Vulnerability
An elevation of privilege vulnerability exists when the Windows Print Spooler service improperly allows arbitrary writing to the file system. An attacker who successfully exploited this vulnerability could run arbitrary code with elevated system privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted script or application.
The update addresses the vulnerability by correcting how the Windows Print Spooler Component writes to the file system.
Der Windows-Druckspooler-Dienst lässt fälschlicherweise willkürliches Schreiben in das Dateisystem zu. Dadurch entsteht eine Sicherheitslücke, die ein Angreifer zur Erhöhung der Privilegien ausnutzen kann. Ein erfolgreicher Angreifer könnte beliebigen Code mit erhöhten Systemprivilegien ausführen. Dies ermöglicht dem Angreifer dann Programme zu installieren, Daten anzeigen, zu ändern oder zu löschen sowie neue (Admin-)Konten mit vollen Benutzerrechten zu erstellen.
Die Ausnutzbarkeit ist aber begrenzt – ein Angreifer müsste sich bei einem betroffenen System anmelden und ein speziell erstelltes Skript oder eine Anwendung ausführen, um diese Schwachstelle auszunutzen. Die Schwachstelle betrifft Windows 7 bis Windows 10 und die Server Pendants. Zum 11. August 2020 hat Microsoft dann auch die Schwachstelle CVE-2020-1337 (Windows Print Spooler Elevation of Privilege Vulnerability) in den unterstützten Windows-Versionen gepatcht.
Details zur Schwachstelle CVE-2020-1337
Nun hat Paolo Stagno, der Entdecker der Schwachstelle CVE-2020-1337 seine Erkenntnisse in diesem Blog-Beitrag offen gelegt. Ihm ist es gelungen, den Patch für die frühere Schwachstelle CVE-2020-1048, die alle Windows 10-Versionen betraf, auszuhebeln.
Just got assigned CVE-2020-1337. Here its Vulnerability description, Root Cause Analysis and PoC for my PrintDemon's (CVE-2020-1048) Patch Bypass via Junction Directory (TOCTOU). https://t.co/uyms2SIgob pic.twitter.com/8coztrZJBN
— Paolo Stagno (VoidSec) (@Void_Sec) August 11, 2020
Paolo Stagno, der Entdecker der Schwachstelle CVE-2020-1337 hatte sein Proof-of-Concept (PoC) drei Tage nach Veröffentlichung des ursprünglichen Sicherheitsupdates fertig. Das Ganze beruht auf dem Ansatz, dass nicht privilegierte Nutzer Drucker zu Windows hinzufügen und dann drucken können. Der Druckeranschluss kann aber ein Pfad zu einer Datei auf der Festplatte sein. In einem trickreichen Ansatz legt er diesem Blog-Beitrag offen, wie dies von einem Angreifer ausgenutzt werden könnte. Nutzer und Administratoren sollten also zeitnah die Windows-Updates vom August 2020 zum Schließen der Schwachstelle installieren. Nachfolgendes YouTube-Video zeigt den Angriff.
(Quelle: YouTube)
2015
