O pesquisador de segurança Alex Ionescu detalhou uma nova vulnerabilidade no Windows que explora uma falha no sistema de impressão para possibilitar a execução de código com privilégios elevados em uma máquina vulnerável.
Segundo o pesquisador, basta um simples comando no PowerShell, interpretador de comandos integrado em todas as versões do Windows desde o Windows 7, para criar um backdoor persistente na máquina, que ficará ativo mesmo após a aplicação de um patch para corrigir a falha.
Attackers can exploit CVE-2020-1048 with a single PowerShell command:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
On an unpatched system, this will install a persistent backdoor, that won’t go away *even after you patch*.
See https://t.co/9yMSWNM8VG for more details.
— Alex Ionescu (@aionescu) May 13, 2020
O funcionamento da falha, identificada como CVE-2020-1048, é explicado em detalhes no blog de Ionescu. Segundo a Microsoft são afetadas múltiplas versões do Windows, incluindo:
- Várias versões do Windows 10 para PCs com processadores de 32 ou 64 Bits, ou para processadores ARM64
- Windows 8.1 de 32 ou 64 Bits
- Windows 8.1 RT
- Windows 7 de 32 ou 64 Bits
- Windows Server 2016
- Windows Server 2019
- Windows Server 2012 e 2012 R2
- Windows Server 2008 e 2008 R2 para PCs com processadores de 32 ou 64 Bits, ou processadores Itanium
- Windows Server versões 1803, 1903 e 1909.
Correções para a falha já estão disponíveis no Microsoft Security Resource Center, que tem mais informações.
Fonte: Windows Internals