A Microsoft májusi frissítési csomagjában befoltozta azt a Windows Print Spoolert (nyomtatási sorkezelő) érintő biztonsági hibát (CVE-2020-1048), amit például a hírhedt Stuxnet támadás során is kihasználtak a támadók. Az idei Black Hat konferencián tartott előadásukban két kutató, Peleg Hadar és Tumar Bar ráadásul újabb biztonsági hibáról számoltak be a Spoolerrel kapcsoaltban, mindez rávilágít a nyomtatási folyamatok sérülékenységére.
A Print Spooler egy kis alkalmazás, amelynek feladata a nyomtatási feladatok kezelése. Amennyiben több nyomtatási feladat kerül kiküldésre egy nyomtatónak, a Print Spooler ezeket sorba rendezi és átmenetileg a memória pufferében tárolja, amíg a nyomtató dolgozik.
A „PrintDemonként” is hivatkozott sérülékenység a nyomtatási sorkezelő szolgáltatást (spoolsv.exe) érinti, amely egy közös interfészt nyújt az operációs rendszer, nyomtató szoftverek, nyomtató driverek és maguk a nyomtatók számára. A szolgáltatás 1996 óta minden Windows verzión megtalálható.
A sérülékenység három fő tényező miatt használható ki: nyomtató driver rendszergazdai jogosultság hiányában is telepíthető; fájlba is lehet nyomtatni; az alapvető nyomtatási szolgáltatások SYSTEM jogosultságokkal futnak.
A támadók például az alábbi támadási vektorokat [1] alkalmazhatják:
- Egy privilegizált helyre történő fájlnyomtatás, abban a reményben, hogy a Spooler ezt majd végrehajtja.
- Káros összetevőt tartalmazó nyomtató driver betöltése.
- Távolról fájlok elhelyezése a Spooler RPC API-n keresztül.
- Nyomtató driverek telepítése távolról.
- EMF/XPS spooler fájlok parszolási hibáinak kihasználása kódfuttatás céljából.
Védekező lépések:
- Mindig telepítsük az operációs rendszer és nyomtató driverek biztonsági frissítéseit.
- Minden esetben kapcsoljuk ki a print spooler szolgáltatást, amennyiben arra nincs feltétlenül szükség (kivéve a domain controllert).
- A „Get-PrinterPort” PowerShell parancs segítségével (vagy a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Ports kidumpolásával) ellenőrizhetjük a nyomtató port fájlokat. Különösen azok a portok gyanúsak, amelyek fájlútvonalakat tartalmaznak, „.DLL”, vagy „.EXE” végződéssel.
- Ne engedéylezzük a nyomtatók vezeték nélküli, illetve az Internet irányából történő elérését. (A Hewlett Packardtól elérhetők gyártói ajánlások a nyílt internet irányából történő eléréséhez.[2])
Források:
[1] PrintDemon: Print Spooler Privilege Escalation, Persistence & Stealth (CVE-2020-1048 & more) https://windows-internals.com/printdemon-cve-2020-1048/
[2] https://support.hp.com/us-en/document/c03687861https://www.csoonline.com/article/3571420/how-to-secure-vulnerable-printers-on-a-windows-network.html?upd=1599045473506
