На прошлой неделе мы рассказывали о том, что в сети появился PoC-эксплоит для опасной уязвимости CVE-2021-34527 в Windows Print Spooler (spoolsv.exe), которой исследователи дали название PrintNightmare. Проблема затрагивает все версии Windows, может влиять даже на XP и Vista, и помогает удаленно выполнить произвольный код с привилегиями SYSTEM, что позволяет атакующему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с пользовательскими правами.
Патча для этой уязвимости пока нет, а специалисты Microsoft сообщали, что проблему уже эксплуатируют в реальной жизни, правда в компании не уточнили, делают это злоумышленники или ИБ-исследователи.
Инженеры Microsoft предлагали администраторами несколько вариантов решения проблемы. К примеру, рекомендуется отключить Print Spooler вовсе, заблокировав печать локально и удаленно. Также возможно отключение входящей удаленной печати через Group Policy, что позволит заблокировать основной вектор потенциальных атак. Во втором случае «система более не будет функционировать как сервер печати, но локальная печать с напрямую подключенных устройств по-прежнему будет возможна».
Теперь же появился и третий вариант: эксперты занимающиеся разработкой решения 0patch, подготовили временные патчи (или микропатчи) для этой проблемы. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.
Микропатчи доступны для Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2, а также Windows 10 v20H2, Windows 10 v2004 и Windows 10 v1909.