SpoolFool - Уязвимость диспетчера печати Windows

#Обучение

SpoolFool - Эксплоит для CVE-2022-21999 — уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав (LPE)

ДИСКЛЕЙМЕР:

Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Спасибо!

Уязвимость SpoolFool состоит из двух обходов CVE-2020–1030.

SpoolFool позволяет повышать привилегии в системе.

CVE-2020–1030 - Уязвимость повышения привилегий, когда служба диспетчера очереди печати Windows ненадлежащим образом разрешает произвольную запись в файловую систему, также известную как «уязвимость повышения привилегий диспетчера очереди печати Windows».

Патч:

Винду пропатчили в 2022-ом году.

Скачивание эксплоита:

Переходим по ссылке на официальный репозиторий, нажимаем на Code -> Скачать ZIP:

Но браузер блокирует скачивание. Более того Windows Defender блокирует его.

В таком случае переходим ко всем загрузкам и нажимаем "Сохранить":

Подтверждаем:

Запуск эксплоита:

Запуск происходит двумя путями:

1.Через сценарий Powershell

2.Через .EXE-файл.

Первый способ:

Запускаем Powershell от имени администратора, для этого находим его через меню пуск:

И подтверждаем:

В итоге у нас запустился Powershell:

Переходим в директорию с эксплоитом:

cd <Директория>

И запускаем сценарий Powershell:

.\SpoolFool.ps1 -dll .\AddUser.dll

Однако может возникнуть ошибка выполнения:

В таком случае вводим команду для изменения настроек системы на проверку безопасности скрипта:

Set-ExecutionPolicy Unrestricted

И подтверждаем нажатием на "Y" + "Enter".

Снова вводим команду для запуска скрипта:

.\SpoolFool.ps1 -dll .\AddUser.dll

После этого в системе должен появиться новый пользователь с правами администратора.

Проверяем его наличие командой net user:

Второй способ:

Запускаем Powershell от имени администратора, для этого находим его через меню Пуск:

И подтверждаем:

Должен запуститься терминал:

Переходим в директорию с эксплоитом:

cd <Директория>

Запускаем .EXE-файл этой командой:

SpoolFool.exe - dll add_user.dll

Должен появиться новый пользователь в системе. Чтобы это проверить вводим эту команду в терминал:

net user

Второй запуск:

В случае, если будет производиться второй запуск эксплоита, то на этот раз уязвимость не используется для загрузки библиотеки DLL.

Эксплоит можно запускать для ввода команд c привилегиями админа.

Примеры:

SpoolFool.exe -dll add_user.dll

SpoolFool.exe -dll add_user.dll -printer 'My Printer'

SpoolFool.exe -dll add_user.dll -dir 'SECRET'

\SpoolFool.exe -dll add_user.dll -printer 'My Printer' -dir 'SECRET'

Артефакты: 

После выполнения эксплойта останутся следующие артефакты:

• Созданный каталог драйвера принтера не удаляется
• Библиотека полезной нагрузки копируется в каталог драйвера принтера и не удаляется.
• Любой созданный принтер не удаляется
• Значение SpoolDirectoryцелевого принтера не восстанавливается.

Источник