Sicherheitswoche 21: Sicherheitsanfälligkeit in Windows Print Service

Die interessantesten Neuigkeiten der letzten Woche kamen im Rahmen des nächsten Service Packs für Microsoft-Betriebssysteme und -Software (ein Übersichtsartikel ). Insgesamt haben Entwickler 111 Sicherheitslücken geschlossen, von denen 16 schwerwiegend waren. Im Gegensatz zu früheren kumulativen Updates wurde bis zur Veröffentlichung des Patches kein einziger Fehler ausgenutzt.

Die Sicherheitsanfälligkeit CVE-2020-1048 (Beschreibung auf der Microsoft- Website , Diskussion zu Habré) im Windows-Druckdienst (genauer gesagt im Windows Print Spooler-Modul ) zeichnet sich nicht durch den Grad der Bedrohung aus, sondern durch die Historie. Es wurde in einem alten Code gefunden, der anscheinend seit Windows NT4 nicht mehr aktualisiert wurde.

Die formale Beschreibung des Problems lautet wie folgt: Eine Sicherheitsanfälligkeit in Print Spooler ermöglicht es einem lokalen Benutzer, die Berechtigungen zu erhöhen, da sie einen wahlfreien Zugriff auf das Dateisystem bietet. Am vergangenen Dienstag, dem 12. Mai, veröffentlichten die Forscher Alex Ionescu und Yarden Shafir eine detaillierte Beschreibung des Problems. Mit einfachen Worten, CVE-2020-1048 wird am Ende des Artikels formuliert: Dies ist ein unglaublich benutzerfreundlicher Fehler - das System kann mit nur wenigen Befehlen in PowerShell "angegriffen" werden. Und das ist noch nicht alles: Die Studie sendet uns einen noch veralteten Code zum Senden von Faxen (!) Und den industriellen Angriff Stuxnet.

In der Veröffentlichung wird der Funktionsmechanismus von Print Spooler ausführlich beschrieben - einem System, das sowohl für das Drucken von Dokumenten als auch für die Verwaltung von Druckern verantwortlich ist. Es kann mit lokalen und Netzwerkdruckgeräten verwendet werden und unterstützt auch das Drucken in eine Datei. Die letzte Methode wird im Artikel ausführlich beschrieben, einschließlich des Mechanismus zum Hinzufügen eines virtuellen Druckers über einen Befehl in PowerShell. Mit diesem Ergebnis:

Am Ende kommt es darauf an, das magische Team aus dem obigen Tweet vorzustellen. Windows hat die Gültigkeit des "Ziels" nicht überprüft, wodurch es möglich wurde, einen "Drucker" mit einem Datensatz in der Systemdatei, in diesem Fall der Bibliothek ualapi.dll, zu erstellen. Es reicht aus, eine beliebige ausführbare Eingabe in einen solchen „Drucker“ zu „drucken“, und Sie erhalten die volle Kontrolle über das System. In dem Patch haben Microsoft-Entwickler die Überprüfung des Druckanschlusses hinzugefügt. Genauer gesagt existierte es vorher, aber es funktionierte nur, wenn die Tools für die Arbeit mit Print Spooler über eine grafische Oberfläche verwendet wurden (eine Untersuchung von Windows Internals zeigt einen Versuch, ein solches Tool zu erstellen). Es funktionierte jedoch nicht, wenn über die Befehlszeile gearbeitet wurde.

Diese Studie hat einen Hintergrund: Bereits am 30. April Ionescu und Shafir veröffentlichtein Artikel über einen ähnlichen Angriff, aber über einen Faxdienst (erinnerst du dich, was es ist? Nein? Und Windows unterstützt sie immer noch!). Zu diesem Zeitpunkt kannten die Forscher die Sicherheitslücke in Print Spooler bereits, mussten jedoch auf die Veröffentlichung von Patches warten. Daher musste die frühere Veröffentlichung unlogisch sein, um den zweiten Teil der Studie aufzurufen, und in ein paar Wochen, um den ersten Teil zu veröffentlichen.

Im Jahr 2010 wurde eine ähnliche Sicherheitsanfälligkeit im Windows-Drucksystem geschlossen : Eskalation von Berechtigungen im System durch willkürliches „Drucken“ von Daten in eine Datei. Das Problem wurde im Rahmen des Stuxnet-Cyberangriffs ausgenutzt und der Toolbox zur Behebung des Zielsystems hinzugefügt. Eigentlich haben wir es während der Studie entdecktSchadcode. Infolge eines Vorfalls vor 10 Jahren wurde die Verteidigung von Print Spooler gestärkt, aber, wie jetzt klar ist, nicht gut genug.

Sophos hat Unternehmen zu Cyber-Angriffen durch Ransomware befragt . Die durchschnittliche Anzahl der Verluste aufgrund solcher Vorfälle betrug 730.000 US-Dollar. Dies ist jedoch der Fall, wenn Sie das Lösegeld nicht zahlen, sondern eine Kopie der Daten aus dem Backup erhalten und auf andere Weise die Infrastruktur wiederherstellen.

Am interessantesten ist, dass der durchschnittliche Schaden unter denjenigen, die die Anforderungen der Cracker erfüllten, doppelt so hoch war - 1,4 Millionen Dollar. Zum Teil ist dies die "Durchschnittstemperatur im Krankenhaus", da kompetenter Schutz und Reservierung ernsthaft sparen können. Dies ist jedoch ein weiteres Argument dafür, dass Cyberkriminelle neben vielen Beispielen für doppelte Erpressung nicht bezahlt werden, wenn sie zuerst Geld für die Entschlüsselung und dann für die Nichtverteilung der Daten verlangen.

Microsoft testet die DNS-Verschlüsselung mit DNS-over-HTTPS. Funktion verfügbar in Windows 10 Insider Preview Build 19628 .

Vertreter von Facebook zahlten 20.000 US-Dollar für die Erkennung eines Fehlers im Dienst. Fahren Sie mit Facebook fort. Sie können sich über ein Konto im sozialen Netzwerk bei Ressourcen von Drittanbietern anmelden. Der Forscher Vinot Kumar entdeckte, dass Continue with Facebook JavaScript-Code von Facebook-Servern verwendet, der ersetzt werden kann, sodass Sie das Konto eines Besuchers entführen können. Sicherheitslücke im Page Builder-

Plugin für Wordpress. Theoretisch sind bis zu eine Million Websites davon betroffen. Der Fehler ermöglicht das Angreifen eines Wordpress-Administratorkontos durch Ausführen von Schadcode in einem Browser.