{"id":231681,"date":"2020-05-14T09:35:01","date_gmt":"2020-05-14T07:35:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231681"},"modified":"2022-01-18T10:41:27","modified_gmt":"2022-01-18T09:41:27","slug":"windows-print-spooler-exploit-fr-cve-2020-1048","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/14\/windows-print-spooler-exploit-fr-cve-2020-1048\/","title":{"rendered":"Windows Print-Spooler: Exploit für CVE-2020-1048"},"content":{"rendered":"

[English<\/a>]Im Print-Spooler von Windows gibt es die Schwachstelle CVE-2020-1048, mit der sich Schadsoftware erh\u00f6hte Privilegien verschaffen k\u00f6nnte.\u00a0 Patchen ist nun angesagt, da ein Exploit \u00f6ffentlich ist, der mit nur einem PowerShell-Befehl eine Backdoor in Windows implementieren kann. Hier eine grobe \u00dcbersicht samt Einsch\u00e4tzung, wie kritisch das Ganze ist, denn es sind einige Voraussetzungen zur Ausnutzung des Exploits erforderlich.<\/p>\n

<\/p>\n

Windows Print-Spooler Schwachstelle CVE-2020-1048<\/h2>\n

\"\"Bei der Schwachstelle CVE-2020-1048<\/a> handelt es sich um eine Privilege Escalation-L\u00fccke im Windows-Druckspooler-Dienst, die ein willk\u00fcrliches Schreiben in das Dateisystem zul\u00e4sst. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, k\u00f6nnte beliebigen Code mit erh\u00f6hten Systemprivilegien ausf\u00fchren. Ein Angreifer k\u00f6nnte dann Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten erstellen.<\/p>\n

Um diese Schwachstelle auszunutzen, m\u00fcsste sich ein Angreifer sich allerdings bei einem betroffenen System anmelden und ein speziell erstelltes Skript oder eine Anwendung ausf\u00fchren. Die Ausnutzung dieser Schwachstelle wird von Microsoft zwar als wenig wahrscheinlich angesehen. Das Unternehmen hat aber zum Patchday 12. Mai 2020 Sicherheitsupdates f\u00fcr Windows 7 bis Windows 10 sowie die Server Pendants herausgebracht, die die Schwachstelle beseitigen sollen. Die Liste der Updates l\u00e4sst sich dieser Seite<\/a> entnehmen. Zudem sind die Windows-Sicherheitsupdates zum Mai 2020-Patchday in meinen Artikeln am Ende dieses Beitrags aufgef\u00fchrt.<\/p>\n

Exploit f\u00fcr CVE-2020-1048<\/h2>\n

Ich bin bereits gestern auf Twitter \u00fcber nachfolgenden Tweet von Alex Ionescu auf das Thema gesto\u00dfen.<\/p>\n

\n

Attackers can exploit CVE-2020-1048 with a single PowerShell command:<\/p>\n

Add-PrinterPort -Name c:\\windows\\system32\\ualapi.dll<\/p>\n

On an unpatched system, this will install a persistent backdoor, that won't go away *even after you patch*.<\/p>\n

See https:\/\/t.co\/9yMSWNM8VG<\/a> for more details.<\/p>\n

\u2014 Alex Ionescu (@aionescu) May 13, 2020<\/a><\/p><\/blockquote>\n