Процессоры печати

Злоумышленники могут злоупотреблять процессорами печати для запуска вредоносных DLL во время загрузки системы для закрепления и/или повышения привилегий. Процессоры печати — это DLL, которые загружаются службой диспетчера очереди печати `spoolsv.exe` во время загрузки. Злоумышленники могут злоупотреблять службой диспетчера очереди печати, добавляя процессоры печати, которые загружают вредоносные DLL при запуске. Процессор печати может быть установлен через вызов API AddPrintProcessor с учетной записью, для которой включена привилегия SeLoadDriverPrivilege. В качестве альтернативы процессор печати может быть зарегистрирован в службе диспетчера очереди печати путем добавления ключа реестра HKLM\SYSTEM\[CurrentControlSet или ControlSet001]\Control\Print\Environments\[архитектура Windows: например, Windows x64]\Print Processors\[определенный пользователем]\Driver, указывающего на DLL. Для правильной установки вредоносного процессора печати полезная нагрузка должна находиться в выделенном системном каталоге процессоров печати, который можно найти с помощью вызова API GetPrintProcessorDirectory, или на который ссылается относительный путь из этого каталога. После установки процессоров печати служба диспетчера очереди печати, которая запускается во время загрузки, должна быть перезапущена, чтобы они запустились. Служба диспетчера очереди печати работает с разрешениями уровня SYSTEM, поэтому процессоры печати, установленные злоумышленником, могут работать с повышенными привилегиями.