Microsoft: Наш патч PrintNightmare эффективен, вы просто неправильно используете Windows

Эксплойт PrintNightmare стал постоянной головной болью для ИТ-администраторов и компании Microsoft.

Из-за общедоступности вредоносного кода, возможности легко вызвать удаленное выполнение кода (RCE) и того факта, что он затрагивает практически все версии Windows, Microsoft присвоила ему «высокий» балл серьезности. Хотя пару дней назад было выпущено внеполосное (OOB) обновление для устранения этой проблемы, многие исследователи безопасности утверждают, что патч неэффективен и может быть легко обойден. Теперь технологический гигант из Редмонда выпустил заявление, в котором подчеркивается, что исправление работает, как и предполагалось, при условии, что вы используете стандартные конфигурации реестра.

Компания Microsoft отслеживает эксплойт PrintNightmare под номером CVE-2021-34527 и активно обновляет свои рекомендации по этой теме. Несмотря на то, что многочисленные исследователи безопасности публично раскрыли доказательства срабатывания RCE и локального повышения привилегий (LPE), несмотря на применение исправления, Microsoft утверждает, что это происходит только потому, что люди используют измененные значения реестра, которые приводят к небезопасной конфигурации. Компания заявляет следующее:

Наше расследование показало, что обновление безопасности OOB работает как задумано и эффективно против известных эксплойтов для спулинга принтера и других публичных отчетов, объединенных под названием PrintNightmare. Все отчеты, которые мы расследовали, основывались на изменении стандартного параметра реестра, связанного с Point and Print, на небезопасную конфигурацию.

В свете вышеизложенных выводов Microsoft рекомендует ИТ-администраторам активно применять патч, а затем проверить настройки реестра. Если они соответствуют тому, что описано в рекомендации компании, все в порядке. Если нет, необходимо убедиться, что они соответствуют официальной документации.

Пока неясно, достаточно ли это обоснование для ИТ-администраторов и исследователей безопасности. Как обычно, мы будем информировать вас о развитии ситуации.

Добавить комментарий

Ваш адрес email не будет опубликован