Semaine de sécurité 21: vulnérabilité du service d'impression Windows

La semaine dernière, les nouvelles les plus intéressantes ont été publiées dans le cadre du prochain Service Pack pour les systèmes d'exploitation et les logiciels Microsoft ( article de synthèse ). Au total, les développeurs ont corrigé 111 vulnérabilités, dont 16 graves. Contrairement aux mises à jour cumulatives précédentes, aucun bogue n'a été exploité jusqu'à la publication du correctif.

La vulnérabilité CVE-2020-1048 (description sur le site Microsoft, discussion sur Habré) dans le service d'impression Windows (plus précisément, dans le module Windows Print Spooler ) se démarque non pas par le degré de menace, mais par son historique. Il a été trouvé dans un ancien morceau de code, qui, apparemment, n'a pas été mis à jour depuis Windows NT4.

La description formelle du problème est la suivante: une vulnérabilité dans le spouleur d'impression permet à un utilisateur local d'augmenter les privilèges, car elle fournit un accès aléatoire au système de fichiers. Le mardi 12 mai dernier, les chercheurs Alex Ionescu et Yarden Shafir ont publié une description détaillée du problème. En termes simples, CVE-2020-1048 est formulé à la fin de l'article: il s'agit d'un bogue incroyablement facile à utiliser - le système peut être "attaqué" avec seulement quelques commandes dans PowerShell. Et ce n'est pas tout: l'étude nous envoie vers un code encore plus obsolète pour l'envoi de fax (!) Et l'attaque industrielle Stuxnet.

La publication décrit en détail le mécanisme de fonctionnement de Print Spooler - un système qui est responsable à la fois de l'impression des documents et de la gestion des imprimantes. Il peut fonctionner avec des périphériques d'impression locaux et réseau, et prend également en charge l'impression dans un fichier. La dernière méthode est décrite en détail dans l'article, y compris le mécanisme d'ajout d'une imprimante virtuelle via une commande dans PowerShell. Avec ce résultat:

En fin de compte, tout se résume à présenter l'équipe magique du tweet ci-dessus. Windows n'a pas vérifié la validité de la "destination", ce qui a permis de créer une "imprimante" avec un enregistrement dans le fichier système, en l'occurrence la bibliothèque ualapi.dll. Il suffit «d'imprimer» une entrée exécutable arbitraire dans une telle «imprimante», et vous obtenez un contrôle total sur le système. Dans le correctif, les développeurs Microsoft ont ajouté la vérification du port d'impression. Plus précisément, il existait avant cela, mais cela ne fonctionnait que lorsque vous utilisez les outils pour travailler avec Print Spooler via une interface graphique (une enquête sur Windows Internals montre une tentative de créer un tel outil). Cependant, cela ne fonctionnait pas lorsque vous travailliez à partir de la ligne de commande.

Cette étude a un contexte: dès le 30 avril, Ionescu et Shafir ont publiéun article sur une attaque similaire, mais via un service de fax (vous souvenez-vous de ce que c'est? Non? Et Windows les prend toujours en charge!). À cette époque, les chercheurs connaissaient déjà la vulnérabilité de Print Spooler, mais ont dû attendre la sortie des correctifs. Par conséquent, la publication antérieure devait être illogique pour appeler la deuxième partie de l'étude, et dans quelques semaines pour publier la première.

En 2010, une vulnérabilité similaire a été corrigée dans le système d'impression Windows : élévation de privilèges dans le système par «impression» arbitraire de données dans un fichier. Le problème a été exploité dans le cadre de la cyberattaque Stuxnet et ajouté à la boîte à outils pour la correction du système cible. En fait, nous l'avons découvert au cours de l' étudecode malicieux. À la suite d'un incident survenu il y a 10 ans, la défense de Print Spooler a été renforcée, mais, comme il est maintenant clair, elle n'est pas assez bonne.

Sophos a interviewé des entreprises sur les cyberattaques de ransomwares. Le montant moyen des pertes dues à de tels incidents s'élève à 730 milliers de dollars - mais c'est le cas si vous ne payez pas la rançon, mais obtenez une copie des données de la sauvegarde et restaurez autrement l'infrastructure.

Plus intéressant encore, les dommages moyens parmi ceux qui ont respecté les exigences des crackers se sont avérés être deux fois plus élevés - 1,4 million de dollars. C'est en partie la "température moyenne à l'hôpital", car une protection et une réservation compétentes peuvent sérieusement économiser. Mais c'est un autre argument pour ne pas payer les cybercriminels, en plus de nombreux exemples de double extorsion, lorsqu'ils demandent d'abord de l'argent pour décrypter les données, puis pour ne pas les distribuer.

Microsoft teste le chiffrement DNS à l'aide de DNS sur HTTPS. Fonctionnalité disponible dans Windows 10 Insider Preview Build 19628 .

Les représentants de Facebook ont ​​payé 20 000 $ pour avoir détecté un bogue dans le service Continuer avec Facebook. Il vous permet de vous connecter à des ressources tierces via un compte sur le réseau social. Le chercheur Vinot Kumar a découvert que Continue with Facebook utilise le code JavaScript des serveurs Facebook pour fonctionner, qui peut être remplacé, ce qui vous permet de détourner le compte d'un visiteur. Vulnérabilité trouvée dans le

plugin Page Builder pour Wordpress. En théorie, jusqu'à un million de sites Web y sont soumis; l'erreur permet d'attaquer un compte administrateur Wordpress en exécutant du code malveillant dans un navigateur.