Microsoft предлагает дополнительные средства защиты для эксплойта PrintNightmare и присваивает ему «высокую» степень серьезности

Пару дней назад мы узнали о новом эксплойте под названием «PrintNightmare», который затрагивает практически все устройства Windows. Он использует незащищенные функции службы Windows Print Spooler для удаленного выполнения кода (RCE). Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) отметило эту уязвимость как критическую, а Microsoft активно ищет способы ее устранения. Теперь технологический гигант из Редмонда предоставил дополнительную информацию по этому вопросу.

PrintNightmare — которая отслеживается под номером CVE-2021-34527 — теперь получила базовый рейтинг Common Vulnerability Scoring System (CVSS) 8.8. Важно отметить, что в документации спецификации CVSS v3.0 эта уязвимость определяется как уязвимость «высокой» степени серьезности, но она находится в опасной близости от «критического» диапазона, который начинается с 9.0. Базовая оценка может достигать максимум 10.0. Аналогично, временная оценка в настоящее время составляет 8.2. Временной балл измеряет текущую возможность использования уязвимости на основе ряда факторов.

Важно отметить, что аналогичная уязвимость была устранена в июньском обновлении Patch Tuesday, но ее базовый балл CVSS составил 7,8.

Базовая оценка — 8,8, поскольку Microsoft определила, что вектор атаки находится на сетевом уровне, требует низкой сложности атаки и привилегий, не предполагает взаимодействия с пользователем и может привести к «полной потере» конфиденциальности, целостности и доступности ресурсов организации. Тем временем, временная оценка составляет 8,2 балла, поскольку функциональный код эксплойта легко доступен в Интернете и работает на всех версиях Windows, существуют подробные отчеты о нем, а также предложены некоторые официальные методы устранения последствий.

Говоря о методах снижения риска, мы уже знаем, что Microsoft предложила отключить службу Windows Print Spooler или, по крайней мере, входящую удаленную печать через групповую политику. Теперь компания также рекомендовала проверить членство в некоторых группах и вложенных группах. Компания предлагает максимально снизить количество членов, в идеале оно должно быть равно нулю, где это возможно. При этом компания предупреждает, что удаление членов из некоторых групп может привести к проблемам совместимости. Речь идет о следующих группах:

  • Администраторы
  • Контроллеры домена
  • Контроллеры домена только для чтения
  • Корпоративные контроллеры домена только для чтения
  • Администраторы сертификатов
  • Администраторы схем
  • Администраторы предприятий
  • Администраторы групповой политики
  • Опытные пользователи
  • Системные операторы
  • Операторы печати
  • Резервные операторы
  • Серверы RAS
  • Совместимый доступ до Windows 2000
  • Объект группы операторов конфигурации сети
  • Группа криптографических операторов Объект
  • Локальная учетная запись и член группы администраторов

Microsoft подчеркнула, что исправление будет выпущено как можно скорее, а пока она рекомендовала организациям использовать такие инструменты, как Microsoft Defender 365, для мониторинга потенциально вредоносной активности. Хотя Print and Point не имеет прямого отношения к данному эксплойту, технологический гигант из Редмонда все же предложил отредактировать некоторые значения реестра, чтобы укрепить локальную инфраструктуру безопасности организации, и заявил, что серверы печати, используемые клиентами, должны быть явно указаны в списке.

Добавить комментарий

Ваш адрес email не будет опубликован