Ранее на этой неделе компания подготовила экстренный патч для критического бага PrintNightmare, недавно обнаруженного в составе Windows Print Spooler (spoolsv.exe).

Microsoft присвоила этой ошибке идентификатор CVE-2021-34527, а также подтвердила, что проблема позволяет удаленно выполнить произвольный код с привилегиями SYSTEM и позволяет атакующему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с пользовательскими правами.

В настоящее время патчи доступны для всех версий Windows, включая даже Windows 7:

При этом ИБ-исследователи быстро обнаружили, что эти исправления неполные, так как уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM. В частности, эту информацию подтвердили  Мэтью Хики, соучредитель Hacker House, а также Уилл Дорманн, аналитик CERT/CC.

Как выяснилось теперь, проблема даже серьезнее, чем они предполагали. Другие исследователи тоже начали модифицировать свои эксплоиты и тестировать патч, после чего выяснилось, что исправление можно обойти полностью, и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода.

Разработчик Mimikatz Бенджамин Делп пишет, что патч можно обойти, если активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».

Мэтью Хики сообщил журналистам Bleeping Computer, что пользователям по-прежнему лучше отключать Print Spooler вовсе, заблокировав печать локально и удаленно (до появления полноценного патча). Также само издание отмечает, что неофициальный микропатч от разработчиком 0patch оказался более эффективен, и можно пользоваться им. Однако это решение сторонних разработчиков конфликтует с исправлением Microsoft от 6 июля 2021 года, то есть 0patch можно применять только вместо официального.

В Microsoft сообщают, что им уже известно о выводах экспертов, и компания уже расследует эти сообщения.

Подписаться
Уведомить о
3 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии