Ранее на этой неделе компания подготовила экстренный патч для критического бага PrintNightmare, недавно обнаруженного в составе Windows Print Spooler (spoolsv.exe).

Microsoft присвоила этой ошибке идентификатор CVE-2021-34527, а также подтвердила, что проблема позволяет удаленно выполнить произвольный код с привилегиями SYSTEM и позволяет атакующему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с пользовательскими правами.

В настоящее время патчи доступны для всех версий Windows, включая даже Windows 7:

При этом ИБ-исследователи быстро обнаружили, что эти исправления неполные, так как уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM. В частности, эту информацию подтвердили  Мэтью Хики, соучредитель Hacker House, а также Уилл Дорманн, аналитик CERT/CC.

Как выяснилось теперь, проблема даже серьезнее, чем они предполагали. Другие исследователи тоже начали модифицировать свои эксплоиты и тестировать патч, после чего выяснилось, что исправление можно обойти полностью, и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода.

Разработчик Mimikatz Бенджамин Делп пишет, что патч можно обойти, если активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».

Мэтью Хики сообщил журналистам Bleeping Computer, что пользователям по-прежнему лучше отключать Print Spooler вовсе, заблокировав печать локально и удаленно (до появления полноценного патча). Также само издание отмечает, что неофициальный микропатч от разработчиком 0patch оказался более эффективен, и можно пользоваться им. Однако это решение сторонних разработчиков конфликтует с исправлением Microsoft от 6 июля 2021 года, то есть 0patch можно применять только вместо официального.

В Microsoft сообщают, что им уже известно о выводах экспертов, и компания уже расследует эти сообщения.

3 комментария

  1. Аватар

    falcon4fun

    09.07.2021 в 00:04

    Зато сломал Zebra принтеры. Замечательный патч.

  2. Аватар

    dmitro_379

    12.07.2021 в 09:43

    Усе путем на Epson, а то что на 50% так локально это значит, что кто-то должен сесть за взламываемый комп лично и так по машинам всей сети.
    Поэтому патч вполне эффективен, а насчет других принтеров, разработчик патча рекомендует переустановить дрова для заглючившего принтера под администратором.

    • Аватар

      Andrey_Vladimirovich

      12.07.2021 в 20:55

      «кто-то должен сесть за взламываемый комп лично и так по машинам всей сети». Интересное у вас понимание безопасности.

Оставить мнение