Attackers can exploit CVE-2020-1048 with a single PowerShell command:

Add-PrinterPort -Name c:windowssystem32ualapi.dll

On an unpatched system, this will install a persistent backdoor, that won't go away *even after you patch*.

See https://t.co/9yMSWNM8VG for more details.

— Alex Ionescu (@aionescu) May 13, 2020

ИБ-специалисты Алекс Ионеску и Ярден Шафир опубликовали информацию об уязвимости PrintDemon, которая связана со службой печати в Windows. По словам исследователей, эта проблема затрагивает все версии ОС, начиная с Windows NT 4, выпущенной в далеком 1996 году. На GitHub уже доступен PoC-эксплоит для PrintDemon. Корень проблемы PrintDemon кроется в компоненте Windows Print Spooler, который управляет операциями печати в Windows. Служба используется для отправки данных для печати на USB или параллельный порт (для физически подключенных принтеров), на порт TCP (для принтеров, находящихся в локальной сети или в интернете), или в локальный файл (в тех редких случаях, когда пользователь хочет сохранить задание на печать на будущее). Эксперты пишут, что обнаруженную ими ошибку можно использовать для компрометации механизма Printer Spooler. По сути, PrintDemon представляет собой уязвимость локального повышения привилегий (LPE). То есть проблему нельзя использовать для удаленной компрометации через интернет, а значит, к счастью, можно не опасаться волны удаленных атак на Windows-системы. Эксплуатация PrintDemon позволяет атакующему, который ранее имел хоть какую-то «точку опоры» в системе, получить привилегии администратора. Поскольку служба Print Spooler доступна любому приложению, которое хочет напечатать файл, она доступна для всех приложений, работающих в системе, без ограничений. Злоумышленник может создать задание на печать, которое печатает «в файл», например, локальный DLL, используемый ОС или другим приложением. В итоге получится инициировать операцию печати, «уронить» при этом Print Spooler, а затем возобновить ­работу, но теперь операция печати будет выполняться с привилегиями SYSTEM и позволит перезаписывать любые файлы в произвольном месте. Ионеску отмечает у себя в Twitter, что для эксплуатации бага в текущих версиях Windows требуется всего одна строка PowerShell. В более старых версиях ОС атака может потребовать чуть больших усилий. Attackers can exploit CVE-2020-1048 with a single PowerShell command: Add-PrinterPort -Name c:windowssystem32ualapi.dll On an unpatched system, this will install a persistent backdoor, that won't go away *even after you patch*. See for more details.— Alex Ionescu (@aionescu) May 13, 2020 «В непропатченной системе это позволит установить устойчивый бэкдор, который не исчезнет *даже после установки патча*», — подчеркивает эксперт. Как можно понять по сообщению исследователя, исправление для этой проблемы уже доступно. Патч для уязвимости PrintDemon вошел в состав майского «вторника обновлений» от Microsoft, а сама уязвимость получила идентификатор CVE-2020-1048. Стоит отметить, что первыми этот баг заметили эксперты компании SafeBreach Labs, и они же сообщили о ней в Microsoft. Исследователи представят собственный доклад по этому вопросу на конференции Black Hat, которая состоится в августе текущего года.