Software

Windows Print Spooler permette l’esecuzione di malware come amministratore

È stata scoperta una nuova vulnerabilità di Windows: i ricercatori hanno scoperto che è possibile bypassare una patch pubblicata da Microsoft per correggere una vulnerabilità che permetteva agli aggressori di eseguire codice malevolo con privilegi elevati sfruttando il servizio di stampa.

La vulnerabilità, tracciata come CVE-2020-1048, è stata scoperta e segnalata da due ricercatori per la sicurezza di SafeBreach Labs: Peleg Hadar e Tomer Bar. Microsoft ha rilasciato una patch per cercare di risolvere il problema che risiede nel servizio di stampa Windows Print Spooler in maggio. Bypassare questa patch è stato classificato come nuova vulnerabilità, tracciata con il nome CVE-2020-1337 ed un fix verrà reso disponibile questo 11 agosto.

I dettagli tecnici riguardo il nuovo bug non sono ancora disponibili ma saranno pubblicati dopo il rilascio della patch, insieme ad un driver Mini-Filter di prova che mostra come prevenire in tempo reale lo sfruttamento delle due vulnerabilità.

La vecchia vulnerabilità veniva sfruttata in modo molto semplice: sapendo che Windows Print Spooler funziona con privilegi SYSTEM e che qualsiasi utente può spostare i file di stampa SHD (Shadow) nella sua cartella, i ricercatori hanno cercato di trovare un modo per scrivere nella directory System32, un compito che richiede privilegi elevati. Hadar e Bar hanno scoperto di poter modificare un file SHD per includere il SYSTEM SID, aggiungerlo alla cartella dello Spooler e riavviare il computer affinché lo Spooler possa eseguire il compito con i diritti dell’account più privilegiato di Windows.

Insieme ad una DLL creata ad-hoc (wbemcomn.dll) mascherata da file SPL, hanno copiato l’SHD malevolo nella cartella dello spooler. Il riavvio successivo, grazie a questo metodo hanno ottenuto l’escalation dei privilegi e hanno scritto la loro DLL nella cartella System32.

Come bonus, diversi servizi di Windows hanno caricato la nostra DLL (wbemcomn.dll) perché non ne hanno verificato la firma e hanno cercato di caricare la DLL da un percorso inesistente, il che significa che abbiamo anche ottenuto l’esecuzione del codice“, hanno detto i due ricercatori.

Questo metodo non funziona più su sistemi aggiornati, ma i ricercatori di Safebreach hanno scoperto che possono bypassare la patch di Microsoft e ottenere risultati simili. Hadar e Bar presenteranno i loro risultati giovedì alla conferenza sulla sicurezza di Black Hat USA.

Se avete timore che il vostro PC windows venga infettato, proteggetevi con AVG Internet Security 2020: la licenza di un anno per un PC è in offerta su Amazon a circa 25 euro.