🥖 🔅 🔘 安全周21：Windows打印服务漏洞 ⌛️ 👩🏾‍🤝‍👨🏽 👩‍✈️

上周最有趣的消息是下一个Microsoft操作系统和软件Service Pack的一部分（一篇评论文章）。开发人员总共关闭了111个漏洞，其中16个是严重漏洞。与以前的累积更新不同，在补丁发布之前，没有一个漏洞被利用。Windows打印服务（更确切地说，在Windows Print Spooler模块中）中

的漏洞CVE-2020-1048（在Microsoft 网站上描述，有关Habré的讨论）不是通过威胁的程度而是通过其历史记录来突出显示的。它是在一段古老的代码中发现的，自Windows NT4以来，显然没有进行过更新。

问题的正式描述如下：Print Spooler中的漏洞允许本地用户增加特权，因为它提供了对文件系统的随机访问。 5月12日，上星期二，研究人员Alex Ionescu和Yarden Shafir发表了对该问题的详细描述。简而言之，CVE-2020-1048是在文章末尾提出的：这是一个非常易于使用的错误-只需在PowerShell中使用几个命令就可以“攻击”系统。不仅如此，这项研究还向我们发送了一个更加过时的代码，用于发送传真（！）和工业攻击Stuxnet。

该出版物详细描述了Print Spooler的操作机制-该后台打印程序负责打印文档和管理打印机。它可以与本地和网络打印设备一起使用，还支持打印到文件。本文详细介绍了最后一种方法，包括通过PowerShell中的命令添加虚拟打印机的机制。结果如下：

最后，归结为从上面的推文介绍魔术团队。 Windows并未检查“目的地”的有效性，这使得可以在系统文件（在本例中为ualapi.dll库）中创建带有记录的“打印机”。将任意可执行输入“打印”到这样的“打印机”中就足够了，您可以完全控制系统。在该修补程序中，Microsoft开发人员添加了打印端口验证。更精确地说，它早于此存在，但仅在通过图形界面使用用于Print Spooler的工具时才起作用（对Windows Internals的调查显示了创建这种工具的尝试）。但是，从命令行工作时它不起作用。

这项研究的背景：早在4月30日，Ionescu和Shafir就发表了一篇关于类似攻击但通过传真服务的文章（您还记得这是什么吗？否？Windows仍支持它们！）。当时，研究人员已经知道Print Spooler中的漏洞，但是不得不等待补丁发布。因此，较早的出版物被称为第二部分是不合逻辑的，要在几周内出版第一部分是不合逻辑的。

2010年，Windows打印系统中关闭了一个类似的漏洞：通过将数据任意“打印”到文件中，系统中的特权升级。该问题被作为Stuxnet网络攻击的一部分加以利用，并被添加到工具箱中以修复目标系统。实际上，我们在研究过程中发现了它恶意代码。由于10年前的事件，Print Spooler的防御得到了加强，但现在已经很清楚，还不够。

Sophos就勒索软件的网络攻击采访了企业。此类事件造成的平均损失总计为73万美元-但这是如果您不支付赎金，而是从备份中获得数据的副本并以其他方式还原基础结构。

最有趣的是，那些遵守饼干要求的人的平均损失竟是原来的两倍——140万美元。在某种程度上，这是“医院的平均温度”，因为有效的保护和保留可以节省很多。但这是另一个论据，除了许多双重敲诈的例子外，他们不付钱给网络罪犯，这是因为他们首先要钱解密数据，然后再不分发数据。

Microsoft正在使用HTTP-over-HTTPS 测试 DNS加密。Windows 10 Insider Preview Build 19628中提供的功能。

Facebook的代表为检测该服务中的错误支付了2万美元。它允许您通过社交网络上的帐户登录到第三方资源。研究人员Vinot Kumar发现，Continue with Facebook使用来自Facebook服务器的JavaScript代码进行工作，该代码可以替换，从而可以劫持访客的帐户。在Word的Page Builder

插件中发现漏洞。从理论上讲，多达一百万个网站受此限制；该错误允许通过在浏览器中执行恶意代码来攻击Wordpress管理员帐户。

安全周21：Windows打印服务漏洞

More articles: