Патч Microsoft для уязвимости PrintNightmare можно полностью обойти

Кмпания Microsoft начала распространять обязательное обновление безопасности для большинства поддерживаемых версий Windows для устранения уязвимости PrintNightmare — критической проблемы, присутствующей в службе Windows Print Spooler, отслеживаемой под номером CVE-2021-34527, которая при эксплуатации может привести к удаленному выполнению кода (RCE) и локальному повышению привилегий (LPE). В то время как вчерашнее обновление устранило эксплойт RCE, в журнале изменений не было упомянуто никаких исправлений для компонента LPE.

Теперь исследователи безопасности начали сообщать, что выпущенное вчера исправление можно обойти, поскольку оно не устраняет проблему с политикой Point and Print в Windows — которая, по словам компании, изначально не имела прямого отношения — и все еще может быть использована для выполнения RCE и LPE. Исследователи и эксперты опубликовали в Твиттере доказательства концепций (замеченные BleepingComputer), запущенных на полностью исправленных системах, демонстрирующие, как патч можно полностью обойти для выполнения LPE. Это подтвердил другой исследователь из CERT, Уилл Дорманн.

Учитывая, что уязвимость нулевого дня и ее возможные эксплойты получили широкое распространение, системы, в которых запущена служба Print Spooler, могут подвергаться активному риску взлома, особенно в корпоративных системах, использующих эти функции для удаленной установки драйверов и обновлений принтеров. Однако на данный момент оптимальным вариантом снижения потенциальных угроз может быть отключение службы Print Spooler или блокирование входящей удаленной печати через групповую политику. Хотя изменения и влияют на функциональность печати, это более быстрое решение и избавляет администраторов от необходимости устанавливать неэффективные исправления для систем организации.

Вы можете выполнить следующие шаги, чтобы отключить службу Print Spooler с помощью PowerShell:

  • Откройте PowerShell от имени администратора
  • Stop-Service -Name Spooler -Force
  • Set-Service -Name Spooler -StartupType Disabled

В качестве альтернативы, можно выполнить входящую удаленную печать через групповую политику с помощью следующих шагов:

  • Откройте редактор групповой политики
  • Перейдите в раздел Конфигурация компьютера / Административные шаблоны / Принтеры
  • Отключите политику «Разрешить Print Spooler принимать клиентские подключения:».

В настоящее время Microsoft ничего не сообщает о выводах исследователей, но будет неудивительно узнать, что компания уже работает над патчем для устранения проблем. Возможно, также стоит следить за обновлениями на странице MSRC, отслеживающей уязвимость.

Microsoft обновила список MSRC, отметив, что она распространяет исправления для Windows Server 2012, Windows Server 2016 и Windows 10, версия 1607. Компания добавляет, что для защиты системы пользователи «должны убедиться, что следующие параметры реестра установлены на 0 или не определены».

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • NoWarningNoElevationOnInstall = 0 (DWORD) или не определено (настройка по умолчанию)
  • NoWarningNoElevationOnUpdate = 0 (DWORD) или не определено (настройка по умолчанию)

Интересно, что исследователь CERT Дорманн утверждает, что «NoWarningNoElevationOnInstall = 0 НЕ предотвращает эксплуатацию». Фирма пока не ответила на сообщения других исследовательских фирм по безопасности.

Добавить комментарий

Ваш адрес email не будет опубликован