В сети был опубликован PoC-эксплоит для опасной уязвимости в Windows Print Spooler (spoolsv.exe). Этот баг имеет идентификатор CVE-2021-1675 или носит имя PrintNightmare. Он был исправлен Microsoft всего пару недель назад, в рамках июньского «вторника обновлений».
Служба Windows Print Spooler является универсальным интерфейсом между ОС, приложениями и локальными или сетевыми принтерами, позволяя разработчикам приложений отправлять задания на печать. Эта служба присутствует в составе Windows с 90-х годов и печально известна благодаря огромному количеству связанных с ней проблем. В частности, с Windows Print Spooler были связаны такие уязвимости, как PrintDemon, FaxHell, Evil Printer, CVE-2020-1337 и даже ряд 0-day багов, которые использовались в атаках Stuxnet.
Новейшая проблема CVE-2021-1675 была обнаружена экспертами компаний Tencent Security, AFINE и NSFOCUS в начале текущего года. Изначально баг был классифицирован как малоопасная уязвимость повышения привилегий, позволявшая злоумышленникам получить права администратора. Однако на прошлой неделе Microsoft обновила описание ошибки, сообщив, что проблема чревата удаленным выполнением произвольного кода.
Ранее о CVE-2021-1675 не было известно практически ничего, так как эксперты не публиковали технических описаний проблемы или эксплоитов для нее. Но на прошлой неделе китайская компания QiAnXin показала файл GIF, где продемонстрировала работу своего эксплоита для CVE-2021-1675. При этом компания не опубликовала никаких технических подробностей и сам эксплоит, чтобы дать пользователям больше времени на установку патчей.
Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw
— RedDrip Team (@RedDrip7) June 28, 2021
Однако теперь на GitHub выложили подробный отчет с техническим описанием проблемы, а также работающий PoC-эксплоит. Похоже, это произошло из-за чьей-то ошибки, и репозиторий был отключен спустя несколько часов. Впрочем, даже за этот короткий промежуток времени его успели клонировать несколько других пользователей.
В этом «утекшем» документе, написанном тремя аналитиками из китайской компании Sangfor, подробно описывается, как эксперты обнаружили ошибку независимо от вышеупомянутых экспертов.
«Мы тоже нашли эту уязвимость и надеялись сохранить ее в секрете, чтобы принять участие в Tianfu Cup [хакерское соревнование, проводящееся в Китае]», — писали эксперты Sangfor, объясняя, что после того как QiAnXin опубликовала демонстрацию своего эксплоита, они сочли, что пора опубликовать свой отчет и PoC.
Впрочем, через несколько часов после этого заявления команда отказалась от своих слов (похоже, эксперты решили не раскрывать все детали своего выступления, запланированного на конференции Black Hat USA 2021) и удалила репозиторий с GitHub. Но было уже поздно, PoC-эксплоит стал достоянием общественности.
Так как уязвимость CVE-2021-1675, которую в Sangfor назвали PrintNightmare, затрагивает все версии Windows и может влиять даже на XP и Vista, используясь для удаленного выполнения кода, компаниям настоятельно рекомендуется как можно скорее обновить свой парк машин под управлением Windows.
UPD.
Сразу несколько ИБ-специалистов предупредили (1, 2, 3), что выпущенный ранее в этом месяце патч исправил лишь первоначальный баг, связанный с повышением привилегий, но не защищает от RCE. По сути, установка исправления для CVE-2021-1675 не защищает от возможных атак, и теперь системным администраторам рекомендуется отключить Windows Print Spooler, особенно на серверах, работающих в качестве контроллеров домена.
