首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-1048 | PrintDemon外地提权误差通告

宣布时间 2020-05-15

0x00 误差概述

CVE ID	CVE-2020-1048	时间	2020-05-15
类型	LPE	等级	高危
远程使用	否	影响规模	自1996年以来宣布(Windows NT 4)的所有Windows版本

0x01 误差详情

尊龙凯时·(中国区)人生就是搏!

2020年5月12日清静研究职员Alex Ionescu和Yarden Shafir宣布误差报告，在Windows打印服务中发明了一个清静误差（CVE-2020-1048），可以用来挟制Printer Spooler机制，该误差影响自1996年以来宣布(Windows NT 4)的所有Windows版本。

CVE-2020-1048是Windows 打印后台处置惩罚程序特权提升误差。若是 Windows 打印后台处置惩罚程序服务器不准确地允许恣意写入文件系统，则会保存特权提升误差。乐成使用此误差的攻击者可以使用提升的系统特权运行恣意代码。攻击者可随后装置程序；审查、更改或删除数据；或者建设拥有完全用户权限的新帐户。若要使用此误差，攻击者必需登录到受影响的系统并运行经特殊设计的剧本或应用程序。

研究职员将PrintDemon称为“外地特权升级”（LPE）误差，纵然攻击者只有通俗用户权限，也可以通过PowerShell下令等方法容易获取系统的治理员权限。攻击者可以初始化一个打印操作，居心使Print Spooler服务奔溃，然后再恢复打印使命，此时打印操作就以SYSTEM权限运行了，可以笼罩系统中的恣意文件。

攻击者可以通过一个PowerShell下令使用CVE-2020-1048：

Add-PrinterPort -Name c:\windows\system32\ualapi.dll

在未装置补丁的系统中，运行上述下令会装置一个永世后门，该后门纵然修复后也不会消逝。

POC: https://github.com/ionescu007/PrintDemon

0x02 处置惩罚建议

微软已经在5月的微软补丁日宣布了该误差的补丁，由于该误差很是容易被使用，研究职员建议用户尽快装置补丁。

暂时步伐：通过PowerShell的Get-PrinterPorts或HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports 来扫描基于文件的端口，尤其是那些.DLL或.EXE扩展的文件路径。

0x03 相关新闻

https://www.zdnet.com/article/printdemon-vulnerability-impacts-all-windows-versions/#ftag=RSSbaffb68

0x04 参考链接

https://windows-internals.com/printdemon-cve-2020-1048/

0x05 时间线

2020-05-15 VSRC宣布误差通告

尊龙凯时·(中国区)人生就是搏!

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

CVE-2020-1048 | PrintDemon外地提权误差通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线