#PrintNightmare #Spooler #Vulnerability
ماجرای بهره برداری از درایور Spooler برمیگرده به ویروس Stuxnet که برای اولین بار از این آسیب پذیری منطقی در نحوه کارکرد و نصب درایور استفاده کرده است

کار این درایور اینه که دستگاه های سخت افزار پرینتر رو نصب میکنه، در تصویر شماره یک توابع API مختص به نصب درایور بصورت Remote بوده بواسطه RPC و یه Warning هم داده میشه به ادمین سمت سرور، همچنین در تصویر شماره 3 نحوه عملکرد سمت Client رو میتونید ببینید که هم بصورت CLI و GUI چطور میتواند اتفاق بی افتد

حالا مشکلی که وجود دارد اینه که ما با استفاده از توابع API سیستم عامل ویندوز میتوانیم هر درایوری رو به عنوان درایور یک پرینتر نصب بکنیم و هیچ گونه تصدیقی در خصوص Verify کردن درایور انجام نمیشه

تصویر شماره 4 توضیحاتی در خصوص ویژگی های سرویس Print Spooler هستش که میتونید ببینید بحث Auto-start بودن بحث استخراج API های Printing از این سرویس و غیره،

این درایور میتواند سطح دسترسی را بالا ببرد میتواند Lateral Movement انجام داد چرا که این سرویس بصورت RPC هم میتواند Parse شود، که در تصویر شماره 5 میتوانید مشاهده بفرماید.

@Unk9vvN