Компания Microsoft подготовила экстренный патч для критического бага PrintNightmare, недавно обнаруженного в составе Windows Print Spooler (spoolsv.exe).
Вокруг проблемы PrintNightmare возникло много недопонимания, так как сначала Microsoft объединила под одним идентификатором (CVE-2021-1675) две уязвимости. Но официальный патч, выпущенный в июне, исправлял только часть проблемы, оставляя критический RCE-баг неисправленным. Из-за этого в конце июня группа китайских исследователей случайно опубликовала свой PoC-эксплоит для этой уязвимости, полагая, что проблема уже устранена.
Код эксплоита быстро удалили с GitHub, однако он все равно просочился в сеть, а ИБ-сообщество обнаружило, что опасная RCE-уязвимость в Windows Print Spooler по-прежнему актуальна. В итоге, чтобы устранить недоразумение, Microsoft присвоила второй ошибке отдельный идентификатор CVE-2021-34527, а также подтвердила, что проблема позволяет удаленно выполнить произвольный код с привилегиями SYSTEM и позволяет атакующему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с пользовательскими правами.
Теперь компания опубликовала внеплановые патчи для PrintNightmare, но исправления пока неполные, так как уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM.
The Microsoft fix released for recent #PrintNightmare vulnerability addresses the remote vector - however the LPE variations still function. These work out of the box on Windows 7, 8, 8.1, 2008 and 2012 but require Point&Print configured for Windows 2016,2019,10 & 11(?). ?♂️ https://t.co/PRO3p99CFo
— Hacker Fantastic (@hackerfantastic) July 6, 2021
Исправления уже доступны для следующих ОС:
- Windows 10 21H1 (KB5004945);
- Windows 10 20H1 (KB5004945);
- Windows 10 2004 (KB5004945);
- Windows 10 1909 (KB5004946);
- Windows 10 1809 и Windows Server 2019 (KB5004947);
- Windows 10 1507 (KB5004950);
- Windows 8.1 и Windows Server 2012 (KB5004954/KB5004958);
- Windows 7 SP1 и Windows Server 2008 R2 SP1 (KB5004953/ KB5004951);
- Windows Server 2008 SP2 (KB5004955/ KB5004959).
Патчи для Windows 10 1607, Windows Server 2016 и Windows Server 2012 пока не готовы, но, по информации Microsoft, будут выпущены в ближайшее время.