포스팅 내용

국내외 보안동향

모든 윈도우 버전에 영향을 미치는 PrintDemon 취약점

PrintDemon vulnerability impacts all Windows versions


두 명의 보안 연구원(Alex Ionescu & Yarden Shafir)이 1996년에 공개된 Windows NT 4 버전 이후의 모든 윈도우 버전에 영향을 미치는 Windows 프린팅 서비스 취약점(CVE-2020-1048)에 관한 세부 정보를 공개했습니다. 


코드명이 PrintDemon인 해당 취약점은 인쇄 작업 관리를 담당하는 주요 Windows 구성 요소인 Windows Print Spooler에 존재합니다. 


해당 서비스는 프린트할 데이터를 물리적으로 연결된 프린터를 위한 USB/병렬 포트로 전송합니다. 


로컬 네트워크 또는 인터넷 상의 프린터용 TCP 포트 또는 사용자가 추후 인쇄 작업을 저장할 이벤트 로컬 파일 등이 해당됩니다.


연구원들은 Printer Spooler 내부 메커니즘을 하이재킹하기 위해 악용될 수 있는 구 버전의 컴포넌트에서 취약점을 발견했습니다고 밝혔습니다. 


또한 해당 취약점은 인터넷 상에서 원격으로 윈도우 클라이언트를 침투하는데는 악용할 수 없으며, 인터넷 상에서 랜덤으로 윈도우 시스템을 해킹하는 데 악용할 수 있다고 설명했습니다. 


연구원들은 PrintDemon을 "로컬 권한 상승(LPE)" 취약점으로 명명했습니다. 


즉, 공격자가 사용자 모드 권한으로 애플리케이션 또는 윈도우 기기에 접근에만 성공하면 무단 파워셸 명령 실행을 통해 전체 OS를 제어하기 위한 관리자 권한을 획득할 수 있습니다. 


이는 Print Spooler 서비스가 작동하는 방식 때문에 가능합니다. 


해당 서비스는 파일 인쇄를 실행하는 모든 애플리케이션에에서 사용할 수 있으므로 시스템에서 실행 중인 모든 애플리케이션에서 제한 없이 사용할 수 있습니다. 


공격자는 파일 또는 OS 또는 다른 애플리케이션에서 사용하는 로컬 DLL 파일로 인쇄하는 작업을 생성할 수 있습니다. 


인쇄 작업을 실행하고 Print Spooler 서비스를 의도적으로 충돌시키고 작업을 다시 시작할 수 있지만, 이번에는 인쇄 작업이 시스템 권한으로 실행되어 OS 모든 파일을 덮어쓰기 할 수 있습니다.


한줄의 파워셸 명령만 있으면 현재 OS 버전에서 해당 취약점 익스플로잇이 가능하며, 구 버전의 윈도우의 경우 약간의 조정이 필요합니다. 


패치되지 않은 시스템에서는 지속 가능한 백도어를 설치함으로써 추후 패치를 적용하더라도 해당 악성코드를 제거하기 어렵게 만듭니다.


다행히 마이크로소프트의 5월 패치 릴리즈에 PrintDemon 취약점에 대한 패치가 포함되었습니다.


또한 보안 연구원 및 시스템 관리자들이 취약점을 조사하고 완화 및 탐지 기능을 마련할 수 있도록 깃허브에 PoC 코드를 공개했습니다. 


두 연구원은 지난 달에도 "FaxHell"이라는 비슷한 취약점에 대한 세부 정보PoC 코드를 게시했습니다.


FaxHell은 PrintDemon과 유사하게 작동하지만 연구원들은 Windows 팩스 서비스를 이용하여 로컬 (DLL) 파일을 덮어쓰기 하고 하이재킹하여 Windows 시스템에 셸 및 백도어 설치에 성공했습니다.





출처:

https://www.zdnet.com/article/printdemon-vulnerability-impacts-all-windows-versions/

티스토리 방명록 작성
name password homepage