Экспертами по информационной безопасности Алексом Ионеску и Ярденом Шафиром была опубликована информация про уязвимость CVE-2020-1048, связанную со службой печати в Windows. По словам исследователей, эта уязвимость, получившая название PrintDemon , затрагивает все версии ОС, начиная с Windows NT 4.

Уязвимость PrintDemon касается Windows Print Spooler, который управляет операциями печати в Windows. Служба используется для отправки данных для печати на все разновидности портов подключения принтеров (в том числе и виртуальных): для физически подключенных принтеров - на USB или параллельный порт, сетевых принтеров и даже при сохранении задания на печать в обычном файле.

Эксперты отмечают, что обнаруженная ними ошибка может использоваться для компрометации механизма Printer Spooler. По сути, PrintDemon представляет собой уязвимость локального повышения привилегий (LPE), соответственно может эксплуатироваться злоумышленником только локально на атакуемой системе.

Эксплуатация PrintDemon позволяет атакующему, который ранее уже смог проникнуть на компьютер жертвы, получить привилегии администратора. Поскольку служба Print Spooler доступна любому приложению, которое хочет напечатать файл, она доступна для всех приложений, работающих в системе, без каких-либо ограничений.

Злоумышленник может создать задание на печать, которое печатает "в файл", например, локальный DLL, используемый ОС или другим приложением. В итоге можно инициировать операцию печати, вызывающую сбой в работе Print Spooler, а после возобновления его работы все операция печати будут выполняться с привилегиями SYSTEM, что позволит злоумышленнику перезаписывать любые файлы в произвольном месте на компьютере.

Ионеску отмечает, что для эксплуатации бага в текущих версиях Windows требуется всего одна строка PowerShell. В более старых версиях ОС атака может потребовать чуть больших усилий.

Исправление, закрывающее уязвимость PrintDemon уже доступно, в том числе и для Windows 7, и вошло в состав майского "вторника обновлений" от Microsoft.