Microsoft расследует критический эксплойт для Windows Print Spooler под названием PrintNightmare

Компания Microsoft ежемесячно выпускает множество обновлений безопасности для своего программного обеспечения, но иногда ошибки все же проскальзывают сквозь трещины и становятся достоянием общественности. Это произошло в очередной раз, когда Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выявило критическую уязвимость Windows Print Spooler, которую Microsoft активно расследует.

Эксплойт известен в сфере кибербезопасности как «PrintNightmare», а CISA назвала его критическим, поскольку он может привести к удаленному выполнению кода (RCE). Координационный центр CERT отслеживает его под VU#383432 и объясняет, что проблема возникает из-за того, что служба Windows Print Spooler не ограничивает доступ к функции RpcAddPrinterDriverEx(), что означает, что злоумышленник, прошедший удаленную аутентификацию, может использовать ее для выполнения произвольного кода. Выполнение произвольного кода происходит под видом SYSTEM.

Для справки, рассматриваемая проблемная функция обычно используется для установки драйверов принтеров. Однако, поскольку удаленный доступ неограничен, это означает, что мотивированный злоумышленник может заставить ее указать на драйвер на удаленном сервере, заставив зараженную машину выполнить произвольный код с привилегиями SYSTEM.

Важно отметить, что Microsoft исправила связанную проблему CVE-2021-1675 в июньском обновлении Patch Tuesday, но последняя разработка не попала под это исправление. Компания заявила, что активно расследует проблему и предложила два обходных пути для администраторов доменов. Первое — отключение службы Windows Print Spooler, но это означает, что печать будет отключена как локально, так и удаленно. Второе — отключение входящей удаленной печати через групповую политику. Это ограничит удаленную печать, но локальная печать будет работать нормально.

Уязвимость отслеживается Microsoft под номером CVE-2021-34527. Компания прямо заявила, что проблемный код присутствует во всех версиях Windows, но она все еще выясняет, можно ли использовать его во всех версиях. Учитывая это, поскольку проблема активно исследуется, Microsoft пока не присвоила ей оценку уязвимости, но отметила ее как «критическую». Примечательно, что код для запуска эксплойта уже был опубликован в интернете несколькими организациями за последние пару дней, поэтому администраторам доменов необходимо применить июньское обновление Patch Tuesday для частичной защиты своей организации и, по крайней мере, отключить удаленную печать через групповую политику.

Добавить комментарий

Ваш адрес email не будет опубликован