{"id":234416,"date":"2020-08-13T00:29:00","date_gmt":"2020-08-12T22:29:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234416"},"modified":"2024-08-12T13:43:49","modified_gmt":"2024-08-12T11:43:49","slug":"details-zur-printdaemon-schwachstelle-cve-2020-1337","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/13\/details-zur-printdaemon-schwachstelle-cve-2020-1337\/","title":{"rendered":"Details zur Windows PrintDaemon-Schwachstelle CVE-2020-1337"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/08\/13\/details-zur-printdaemon-schwachstelle-cve-2020-1337\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Ein Sicherheitsforscher hat Details zur Schwachstelle CVE-2020-1337 (Windows Print Spooler Elevation of Privilege Vulnerability) offen gelegt und gezeigt, wie sich diese ausnutzen l\u00e4sst. Die Schwachstelle betrifft Windows 7 bis Windows 10 und die Server Pendants; ein Update steht seit dem 11. August 2020 zur Verf\u00fcgung.<\/p>\n<p><!--more--><\/p>\n<h2>Die Schwachstelle CVE-2020-1337<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/6bc9896582404bc9a3f005f6fc2dccf0\" alt=\"\" width=\"1\" height=\"1\" \/>Im Windows Printer-Spooler-Dienst gibt es eine Schwachstelle, die eine Erh\u00f6hung der Privilegien erm\u00f6glicht. Ich hatte bereit im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/11\/windows-schwachstelle-cve-2020-1337-wird-heute-gepatcht\/\">Windows-Schwachstelle CVE-2020-1337 wird heute gepatcht<\/a> kurz auf das neu entdeckte Problem im Windows Druckerspooler hingewiesen. Microsoft schreibt zur Schwachstelle <a href=\"https:\/\/web.archive.org\/web\/20201101034903\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1337\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1337<\/a>:<\/p>\n<blockquote>\n<h4>CVE-2020-1337 | Windows Print Spooler Elevation of Privilege Vulnerability<\/h4>\n<p>An elevation of privilege vulnerability exists when the Windows Print Spooler service improperly allows arbitrary writing to the file system. An attacker who successfully exploited this vulnerability could run arbitrary code with elevated system privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.<\/p>\n<p>To exploit this vulnerability, an attacker would have to log on to an affected system and run a specially crafted script or application.<\/p>\n<p>The update addresses the vulnerability by correcting how the Windows Print Spooler Component writes to the file system.<\/p><\/blockquote>\n<p>Der Windows-Druckspooler-Dienst l\u00e4sst f\u00e4lschlicherweise willk\u00fcrliches Schreiben in das Dateisystem zu. Dadurch entsteht eine Sicherheitsl\u00fccke, die ein Angreifer zur Erh\u00f6hung der Privilegien ausnutzen kann. Ein erfolgreicher Angreifer k\u00f6nnte beliebigen Code mit erh\u00f6hten Systemprivilegien ausf\u00fchren. Dies erm\u00f6glicht dem Angreifer dann Programme zu installieren, Daten anzeigen, zu \u00e4ndern oder zu l\u00f6schen sowie neue (Admin-)Konten mit vollen Benutzerrechten zu erstellen.<\/p>\n<p>Die Ausnutzbarkeit ist aber begrenzt &#8211; ein Angreifer m\u00fcsste sich bei einem betroffenen System anmelden und ein speziell erstelltes Skript oder eine Anwendung ausf\u00fchren, um diese Schwachstelle auszunutzen. Die Schwachstelle betrifft Windows 7 bis Windows 10 und die Server Pendants. Zum 11. August 2020 hat Microsoft dann auch die Schwachstelle <a href=\"https:\/\/de.tenable.com\/blog\/microsoft-s-august-2020-patch-tuesday-addresses-120-cves-cve-2020-1337\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1337<\/a> (Windows Print Spooler Elevation of Privilege Vulnerability) in den unterst\u00fctzten Windows-Versionen gepatcht.<\/p>\n<h2>Details zur Schwachstelle CVE-2020-1337<\/h2>\n<p>Nun hat Paolo Stagno, der Entdecker der Schwachstelle CVE-2020-1337 seine Erkenntnisse in <a href=\"https:\/\/voidsec.com\/cve-2020-1337-printdemon-is-dead-long-live-printdemon\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> offen gelegt. Ihm ist es gelungen, den Patch f\u00fcr die fr\u00fchere Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2020-1048\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-1048<\/a>, die alle Windows 10-Versionen betraf, auszuhebeln.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Just got assigned CVE-2020-1337. Here its Vulnerability description, Root Cause Analysis and PoC for my PrintDemon's (CVE-2020-1048) Patch Bypass via Junction Directory (TOCTOU). <a href=\"https:\/\/t.co\/uyms2SIgob\">https:\/\/t.co\/uyms2SIgob<\/a> <a href=\"https:\/\/t.co\/8coztrZJBN\">pic.twitter.com\/8coztrZJBN<\/a><\/p>\n<p>\u2014 Paolo Stagno (VoidSec) (@Void_Sec) <a href=\"https:\/\/twitter.com\/Void_Sec\/status\/1293250990775455746?ref_src=twsrc%5Etfw\">August 11, 2020<\/a><\/p><\/blockquote>\n<p>Paolo Stagno, der Entdecker der Schwachstelle CVE-2020-1337 hatte sein Proof-of-Concept (PoC) drei Tage nach Ver\u00f6ffentlichung des urspr\u00fcnglichen Sicherheitsupdates fertig. Das Ganze beruht auf dem Ansatz, dass nicht privilegierte Nutzer Drucker zu Windows hinzuf\u00fcgen und dann drucken k\u00f6nnen. Der Druckeranschluss kann aber ein Pfad zu einer Datei auf der Festplatte sein. In einem trickreichen Ansatz legt er <a href=\"https:\/\/voidsec.com\/cve-2020-1337-printdemon-is-dead-long-live-printdemon\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> offen, wie dies von einem Angreifer ausgenutzt werden k\u00f6nnte. Nutzer und Administratoren sollten also zeitnah die Windows-Updates vom August 2020 zum Schlie\u00dfen der Schwachstelle installieren. <a href=\"https:\/\/youtu.be\/no-5cyluHxg\" target=\"_blank\" rel=\"noopener\">Dieses YouTube-Video<\/a> zeigt den Angriff.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Sicherheitsforscher hat Details zur Schwachstelle CVE-2020-1337 (Windows Print Spooler Elevation of Privilege Vulnerability) offen gelegt und gezeigt, wie sich diese ausnutzen l\u00e4sst. Die Schwachstelle betrifft Windows 7 bis Windows 10 und die Server Pendants; ein Update steht seit dem &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/13\/details-zur-printdaemon-schwachstelle-cve-2020-1337\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-234416","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234416","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234416"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234416\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234416"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234416"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234416"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}