Security Week 21: Kerentanan Layanan Cetak Windows

Berita paling menarik minggu lalu datang sebagai bagian dari paket layanan berikutnya untuk sistem operasi dan perangkat lunak Microsoft ( artikel ulasan ). Secara total, pengembang menutup 111 kerentanan, 16 di antaranya serius. Tidak seperti pembaruan kumulatif sebelumnya, tidak ada satu bug pun yang dieksploitasi hingga tambalan dirilis.

Kerentanan CVE-2020-1048 (deskripsi di situs web Microsoft, diskusi tentang Habré) dalam layanan cetak Windows (lebih tepatnya, dalam modul Windows Print Spooler ) menonjol bukan karena tingkat ancamannya, tetapi oleh sejarahnya. Itu ditemukan dalam sepotong kode kuno, yang, tampaknya, belum diperbarui sejak Windows NT4.

Deskripsi formal masalah adalah sebagai berikut: kerentanan dalam Print Spooler memungkinkan pengguna lokal untuk meningkatkan hak istimewa, karena menyediakan akses acak ke sistem file. Selasa lalu, 12 Mei, peneliti Alex Ionescu dan Yarden Shafir menerbitkan deskripsi terperinci tentang masalah tersebut. Dengan kata sederhana, CVE-2020-1048 diformulasikan di akhir artikel: ini adalah bug yang sangat mudah digunakan - sistem dapat "diserang" hanya dengan beberapa perintah di PowerShell. Dan bukan itu saja: penelitian mengirim kami ke kode yang lebih usang untuk mengirim faks (!) Dan serangan industri Stuxnet.

Publikasi ini menjelaskan secara terperinci mekanisme pengoperasian Print Spooler - sistem yang bertanggung jawab untuk mencetak dokumen dan mengelola printer. Ini dapat bekerja dengan perangkat pencetakan lokal dan jaringan, dan juga mendukung pencetakan ke file. Metode terakhir dijelaskan secara rinci dalam artikel, termasuk mekanisme untuk menambahkan printer virtual melalui perintah di PowerShell. Dengan hasil ini:

Pada akhirnya, semuanya bermula untuk memperkenalkan tim sihir dari tweet di atas. Windows tidak memeriksa validitas "tujuan", yang memungkinkan untuk membuat "printer" dengan catatan dalam file sistem, dalam hal ini, perpustakaan ualapi.dll. Cukup untuk "mencetak" input yang dapat dieksekusi secara sewenang-wenang ke dalam "printer" tersebut, dan Anda mendapatkan kontrol penuh atas sistem. Di tambalan, pengembang Microsoft menambahkan verifikasi port cetak. Lebih tepatnya, itu ada sebelum itu, tetapi itu hanya bekerja ketika menggunakan alat untuk bekerja dengan Print Spooler melalui antarmuka grafis (investigasi Windows Internals menunjukkan upaya untuk membuat alat seperti itu). Namun, itu tidak berfungsi ketika bekerja dari baris perintah.

Penelitian ini memiliki latar belakang: paling cepat 30 April, Ionescu dan Shafir diterbitkansebuah artikel tentang serangan serupa, tetapi melalui layanan faks (Anda ingat apa itu? Tidak? Dan Windows masih mendukungnya!). Saat itu, para peneliti sudah mengetahui kerentanan di Print Spooler, tetapi harus menunggu rilis patch. Oleh karena itu, publikasi sebelumnya harus tidak masuk akal untuk memanggil bagian kedua dari penelitian, dan dalam beberapa minggu untuk mempublikasikan yang pertama.

Pada tahun 2010, kerentanan serupa ditutup pada sistem pencetakan Windows : eskalasi hak istimewa dalam sistem dengan "mencetak" data secara sewenang-wenang ke suatu file. Masalahnya dieksploitasi sebagai bagian dari serangan cyber Stuxnet dan ditambahkan ke kotak alat untuk diperbaiki ke sistem target. Sebenarnya, kami menemukannya selama penelitiankode berbahaya Sebagai akibat dari insiden 10 tahun yang lalu, pertahanan Print Spooler diperkuat, tetapi, seperti yang sekarang jelas, tidak cukup baik.

Sophos telah mewawancarai bisnis tentang serangan cyber oleh ransomware. Jumlah rata-rata kerugian akibat insiden tersebut mencapai 730 ribu dolar - tetapi ini adalah jika Anda tidak membayar uang tebusan, tetapi dapatkan salinan data dari cadangan dan dengan cara lain memulihkan infrastruktur.

Yang paling menarik, kerusakan rata-rata di antara mereka yang memenuhi persyaratan kerupuk ternyata menjadi dua kali lipat - 1,4 juta dolar. Sebagian, ini adalah "suhu rata-rata di rumah sakit", karena perlindungan dan reservasi yang kompeten dapat menghemat secara serius. Tetapi ini adalah argumen lain untuk tidak membayar penjahat dunia maya, di samping banyak contoh pemerasan ganda, ketika mereka pertama kali meminta uang untuk mendekripsi data, dan kemudian karena tidak mendistribusikannya.

Microsoft sedang menguji enkripsi DNS menggunakan DNS-over-HTTPS. Fitur tersedia di Windows 10 Insider Preview Build 19628 .

Perwakilan Facebook membayar $ 20 ribu untuk mendeteksi bug di layanan Lanjutkan dengan Facebook. Ini memungkinkan Anda untuk masuk ke sumber daya pihak ketiga melalui akun di jejaring sosial. Peneliti Vinot Kumar menemukan bahwa Lanjutkan dengan Facebook menggunakan kode JavaScript dari server Facebook agar berfungsi, yang dapat diganti, yang memungkinkan Anda untuk membajak akun pengunjung. Kerentanan ditemukan di Page Builder

plugin untuk Wordpress. Secara teori, hingga satu juta situs web tunduk padanya, kesalahannya memungkinkan menyerang akun administrator Wordpress dengan mengeksekusi kode berbahaya di peramban.