2020年5月，Microsoft修补了CVE-2020-1048，该漏洞是Windows后台打印程序服务中的特权升级漏洞，该漏洞由SafeBreach Labs的Peleg Hadar和Tomer Bar发现。

一个月后，两位研究人员找到了一种绕过补丁程序并重新利用最新Windows版本上的漏洞的方法。Microsoft为该漏洞分配了一个新的标识号CVE-2020-1337，并将在2020年8月(星期二)修补程序中对其进行修补。

“打印界面的主要组件是后台打印程序。后台打印程序是管理打印过程的可执行文件。打印管理包括检索正确的打印机驱动程序的位置，加载该驱动程序，将高级功能调用假脱机到打印作业中，安排要打印的打印作业等等。后台打印程序在系统启动时加载并继续运行，直到操作系统关闭，”微软解释说。

“后台打印程序代码至少有20年的历史。通常，较旧的代码往往包含较旧的错误，并且由于安全漏洞而可能带来更大的风险，但实际上，在过去的20多年中，假脱机程序服务中几乎没有发现任何漏洞，” Hadar告诉Help Net Security。

其中之一是CVE-2010-2729，这是Stuxnet数年前利用的特权升级漏洞。另一个是CVE-2020-1048，它是2020年5月修复的上述Print Spooler缺陷。

新发现的Windows Print Spooler 0Day

Hadar和Bar 本周在Black Hat USA 2020上分享了有关两个发现的零日的更多信息。

CVE-2020-1337是一个本地特权升级漏洞，影响从Windows 7到Windows 10(32位和64位)的所有Windows版本。

Hadar解释说，除了允许攻击者获得SYSTEM特权外，它还可以用作持久性技术，具体步骤如下：

• 通过将shd和spl文件写入后台处理程序文件夹，恶意代码可能会在每次重新启动操作系统时触发漏洞。

• 操作系统重新启动后，后台处理程序服务将处理shd文件和spl文件，漏洞将被利用，后台处理程序会将恶意软件的dll重新写入到system32下易于受到dll劫持的路径，并将由系统过程。

本地DoS漏洞是一个古老的漏洞：从2000到Windows 10(32位和64位)的所有Windows版本中均可利用此漏洞。

这个没有CVE号码，也不会打补丁，因为微软表示“没有达到安全更新的服务要求”。

研究人员已经发布了针对CVE-2020-1048和后台打印程序DoS漏洞的漏洞利用PoC，并将在补丁发布后下周针对CVE-2020-1337发行一个漏洞。

缓解和进一步研究的工具

他们还发布了一个微型过滤器内核驱动程序的PoC，用于缓解特权提升漏洞(由于任意写入文件系统)。

“(在本地特权升级的情况下)任意文件写入错误类的根本原因之一是，允许无特权的用户直接写入由NT AUTHORITY \ SYSTEM运行的服务直接处理的文件夹”，他们解释说。

该驱动程序演示了如何实时阻止此类漏洞的使用(尽管他们警告说，该代码仅用于演示目的，不应在生产环境中使用)。

他们还为010十六进制编辑器提供了SHD文件模板，以帮助其他研究人员开始对后台打印程序机制进行自己的研究。

关于这些版本也是在github进行发布了。

后台打印程序利用及分析工具

该存储库包含我们在“后台打印程序”研究期间开发的工具，这些工具在Black Hat USA 2020和DEF CON 28安全模式下进行了介绍(“ Stuxnet的打印机中断之后的十年：打印仍然是可行的天堂的阶梯”。)

每个工具/项目都包含其自己的README.md文件：

• SHDWriter：CVE-2020-1048-利用PoC

• Spooler_DoS -后台处理程序DoS-PoC

• AFW_MitigationDriver -任意文件写入缓解-迷你筛选器驱动程序

• SHDWriter_2.0 -CVE-2020-1337-突破利用PoC(即将周二补丁后发布)

• 010Editor_Templates -010个未记录的影子文件结构的模板

带个项目链接：https://github.com/SafeBreach-Labs/Spooler 有时间感兴趣可以尝试一下！