רגע לפני העדכון הגדול התשיעי למערכת ההפעלה Windows (חלונות), שחררה מיקרוסופט (Microsoft) ביום שלישי עדכון אבטחה משמעותי לסתימת 111 פרצות אבטחה שהתגלו במערכת, וביניהן אחת מטרידה במיוחד, שהתגלתה על ידי חוקרים ישראלים.
מי שגילו את הפרצה היו פלג הדר ותומר בר מ-SafeBreach הישראלית. הם הודיעו למיקרוסופט על קיומה, וצפויים להציג אותה בוועידת Black Hat הקרובה, שתיערך בחודש יולי. בינתיים, שני חוקרים אחרים – ירדן שפיר הישראלית ואלכס יוֹנסקוּ האמריקאי – פרסמו מאמר בו הם מסבירים את הפרצה.
שפיר ויונסקו העניקו לפרצה את השם PrintDemon – משחק מילים המבוסס על כך שהיא התגלתה בתהליך הרקע האחראי על עבודות הדפסה – או באנגלית, Print Daemon – הידוע גם כ-spooler. התהליך המדובר רץ בכל מערכות ההפעלה של מיקרוסופט מאז Windows NT 4, ששוחררה ב-1996, וכמעט לא השתנה מאז – מה שאומר שהפרצה שהתגלתה קיימת בכל מחשב כבר כמעט 25 שנה.
תפקידו של התהליך, הרץ ברקע מרגע ההפעלה של Windows ועד לכיבוי המחשב, הוא לאסוף עבודות הדפסה מתוכנות ואפליקציות שונות, ולהעביר אותן ליעדן – מדפסת רגילה המחוברת ל-USB או לרשת, או קובץ מקומי (למשל PDF).
אלא שמתברר שאופי פעולתו של התהליך מאפשר לפורץ להריץ תוכנה שתגרום לקריסתו, ולאחר הפעלתו מחדש על ידי המערכת תיתן לאותה תוכנה שגרמה לקריסה גישת מערכת. כך, ‘עבודת ההדפסה’ יכולה לייצא קובץ DLL – הרחבת יישום שנמצאת בשימוש על ידי תוכנות אחרות או מערכת ההפעלה עצמה – כך שהמערכת עצמה תריץ קובץ זדוני שישמש דלת אחורית למחשב.
החדשות הטובות הן שלמרות שמדובר בפרצה קלה עד גיחוך לניצול, היא דורשת קודם כל גישה פיזית למחשב, ואי אפשר לנצל אותה באמצעות האינטרנט – כך שמי שלא נותן גישה לזרים להשתמש במחשב לא צריך לדאוג. שנית, לפי מיקרוסופט, לא ידוע על ניצול של הפרצה בפועל. עם זאת, שפיר ויונסקו ציינו כי גם התולעת Stuxnet, שלפי הערכות נוצרה על ידי ישראל או ארה”ב כדי לפרוץ לתוכנית הגרעין האיראנית, התבססה על פרצה כמעט זהה שהתגלתה ב-2009. כמו כן, בחודש שעבר הם גילו פרצה דומה בשירות ותיק אחר המשולב ב-Windows ומיועד לשליחת פקסים.