Карточка уязвимости

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Возможность добавления процессора печати

Злоумышленники могут использовать процессорами печати для запуска вредоносных библиотек DLL во время загрузки системы для закрепления в инфраструктуре и/или повышения привилегий.
Процессор печати может быть установлен от имени учетной записи, с включенной опцией SeLoadDriverPrivilege с помощью вызова API AddPrintProcessor.
Процессор печати может быть зарегистрирован в службе диспетчера очереди печати, добавлением раздела реестра

HKLM\SYSTEM\\[CurrentControlSet or ControlSet001]\Control\Print\Environments\\[Windows architecture: e.g., Windows x64]\Print Processors\\[user defined]\Driver

После установки процессоров печати служба диспетчера очереди печати, должна быть перезапущена. Служба диспетчера очереди печати работает с разрешениями системного уровня, поэтому процессоры печати, установленные злоумышленником, могут работать с повышенными привилегиями.

Каталоги

Техники ATT@CK:

T1547.012 Boot or Logon Autostart Execution: Print Processors

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за возможности добавления процессора печати в ОС Windows Повышение привилегий НСД
Повышение привилегий в ОС из-за возможности добавления процессора печати в ОС Windows Повышение привилегий Целостность