這個由網絡安全公司 SafeBreach Labs 發現、代號為 CVE-2020-1048 的安全漏洞會影響 Windows 系統內的 Print Spooler 印表機服務。早在5月份時,微軟其實就已經發布過針對這個漏洞的安全更新,但是目前來看這些更新並不能夠有效的阻止攻擊者利用這個漏洞。
研究人員發現,他們可以透過讓 Windows Print Spooler 印表機服務解析特定的惡意檔案並利用這個漏洞。這些檔案包括用於列印工作的數據如系統用戶 ID,以及包含待列印數據的 SPL 檔案。
這些檔案都是由一個名為 ProcessShadowJobs 的功能來處理,它會在開始列印時將 SHD 文件放入後台列印程序文件夾內。但是由於 Windows Print Spooler 是以系列權限運行,並且任何用戶都可以 SHD 檔案放進去這個文件夾內,因此研究人員可以把 SHD 文件修改成包含一個系統 SID,把其放進 Windows Print Service 的文件夾內,然後重啟電腦並且讓 Windows Print Spooler 可以用最高權限的帳號來執行工作。
微軟已經表示會在8月的補丁星期二,也就是11號發布包括修復這個漏洞的安全性更新。
不過正如 Windows 的更新歷史一樣,新的安全性更新不知道會不會帶來一些其他怪問題,例如6月份的安全性更新會導致部分品牌的印表機出現問題。
來源
研究人員發現,他們可以透過讓 Windows Print Spooler 印表機服務解析特定的惡意檔案並利用這個漏洞。這些檔案包括用於列印工作的數據如系統用戶 ID,以及包含待列印數據的 SPL 檔案。
這些檔案都是由一個名為 ProcessShadowJobs 的功能來處理,它會在開始列印時將 SHD 文件放入後台列印程序文件夾內。但是由於 Windows Print Spooler 是以系列權限運行,並且任何用戶都可以 SHD 檔案放進去這個文件夾內,因此研究人員可以把 SHD 文件修改成包含一個系統 SID,把其放進 Windows Print Service 的文件夾內,然後重啟電腦並且讓 Windows Print Spooler 可以用最高權限的帳號來執行工作。
微軟已經表示會在8月的補丁星期二,也就是11號發布包括修復這個漏洞的安全性更新。
不過正如 Windows 的更新歷史一樣,新的安全性更新不知道會不會帶來一些其他怪問題,例如6月份的安全性更新會導致部分品牌的印表機出現問題。
來源