PrintDemon – nowa podatność w usłudze wydruku w Windows

Całkiem niedawno dwóch specjalistów z bezpieczeństwa sieci opublikowało raport o luce w zabezpieczeniach usługi wydruku w systemach Windows. Chodzi o podatność w usłudze Windows Print Spooler, o której słabościach pisaliśmy już w innym naszym artykule. Nowa podatność dotyczy wszystkich wersji systemów Windows, nawet tych z 1996 roku! Otrzymała dumną nazwę PrintDemon i została oznaczona kodem CVE-2020-1048. Szczegółowy, techniczny opis podatności można znaleźć tutaj.

Luka znaleziona w komponencie PrintSpooler pozwala na kompromitacje usługi poprzez modyfikacje jej pamięci i wykorzystanie używanych przez nią poświadczeń, czyli SYSTEM, do wykonania dowolnego kodu. Błędu nie można w żaden sposób wykorzystać do zdalnego dostępu do urządzenia, czy kompromitacji sieciowej na większą skale, ale problem i tak jest duży. Microsoft też oznaczył podatność jako Local Privilege Escalation (LPE).

Usługa PrintSpooler dostępna jest bez żadnych restrykcji z każdej aplikacji uruchomionej w systemie. Pozwala to osobie atakującej na utworzenie zadania drukowania, które może wydrukować jakiś tekst (na przykład polecenie PowerShell) do pliku. Atakujący inicjuje taką operacje drukowania, następnie zawiesza usługę PrintSpooler i pozwala zadaniu na restart. Jednak, tym razem zadanie wydruku wznawia się na najwyższych uprawnieniach SYSTEM, co pozwala na nadpisanie każdego pliku w systemie operacyjnym. Co przeprowadzenia exploitu na nowych systemach Windows wystarczy jedna linia kodu PowerShell.

Dobre wieści są takie, że Microsoft wydał już łatkę, która znajduje się w najnowszym majowym Patch Tuesday. Sam producent przyznaje, że to jedna z ciekawszych podatności jaką mieli okazję załatać, ponieważ jest bardzo prosta w użyciu, a istniała niezauważona od lat we wszystkich wersjach systemów Windows.

Szybkie zaktualizowanie naszych systemów jest teraz bardzo ważne, ponieważ raz wykorzystana podatność przed łatką, pozostaje później ukryta w systemie i może być używana pomimo wgranego patch’a. Oprócz tego warto przeskanować swoje systemy pod kątem obecności portów wydruku zwierających ścieżki plików. Niebezpieczne szczególnie są te o rozszerzeniach .DLL oraz .EXE. Można to sprawdzić za pomocą komendy PS: Get-PrinterPorts.

Popularne

Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat

W niedzielę wieczorem na zagranicznych serwisach newsowych poświęconych malware pojawiły się informacje o cyberataku na serwis Polsatu. Według doniesień za incydent odpowiada grupa ransomware ALP-001, która...

5 min czytania 31 mar 2026 06:15

DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund

Powstał nowy, zaawansowany zestaw exploitów wymierzony w użytkowników iPhone’ów. Narzędzie o nazwie DarkSword pokazuje, że nawet platformy uznawane za jedne z najbezpieczniejszych mogą stać się celem...

5 min czytania 20 mar 2026 06:43

ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać

Współczesne cyberataki rzadko polegają na wykorzystywaniu luk w oprogramowaniu. Zamiast tego cyberprzestępcy coraz częściej manipulują samymi użytkownikami, nadużywając ich zaufania i obserwując rutynowe z...

5 min czytania 1 kwi 2026 07:42

Irańscy hakerzy włamali się na skrzynkę dyrektora FBI. Atak elementem cyberwojny

Grupa hakerska powiązana z Iranem przeprowadziła skuteczny atak na prywatną skrzynkę e-mail dyrektora FBI, Kasha Patela. Incydent szybko stał się głośny nie tylko ze względu na rangę celu, ale także jak...

5 min czytania 2 kwi 2026 08:23

WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach

Cyberprzestępcy po raz kolejny wykorzystują zaufanie użytkowników do popularnych komunikatorów. Najnowsze ostrzeżenie Microsoftu ujawnia zaawansowaną kampanię, w której złośliwe oprogramowanie jest rozsy...

5 min czytania 3 kwi 2026 08:32