Ранее на этой неделе многие ИБ-исследователи предупреждали, что экстренный патч для опасной уязвимости PrintNightmare оказался неэффективен и не устранял проблему окончательно. Напомню, что эксперты обнаружили, что даже после установки исправления уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM.

Хуже того, разработчик Mimikatz Бенджамин Делп сообщал, что патч можно обойти полностью и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода. Для этого должна быть активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».

Теперь в Microsoft ответили на эти предупреждения и сообщили, что патч работает корректно:

«Наше расследование показало, что внеплановое обновление безопасности работает должным образом и эффективно против известных эксплоитов и других публичных отчетов, которые в совокупности известны как PrintNightmare. Все изученные нами отчеты были основаны на изменении настроек реестра по умолчанию, связанных с функцией Point and Print, на небезопасную конфигурацию», — заявили в компании.

Также инженеры Microsoft обновили руководство по исправлению проблемы PrintNightmare и по-прежнему призывают пользователей установить патчи как можно скорее. Теперь руководство выглядит так:

  • в любом случае применить патч для CVE-2021-34527 (обновление не изменит существующие настройки реестра);
  • после применения обновления проверить параметры реестра, задокументированные в описании CVE-2021-34527;
  • если перечисленные там ключи реестра не существуют, дальнейшие действия не требуются;
  • если ключи реестра существуют, для защиты системы необходимо подтвердить, что для следующих ключей реестра установлены значения 0 (ноль) или они отсутствуют:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
    NoWarningNoElevationOnInstall = 0 (DWORD) или неопределенно (по умолчанию)
    UpdatePromptSettings = 0 (DWORD) или неопределенно (по умолчанию).

Однако помимо вопросов к эффективности внепланового патча с ним возникли и другие трудности. Издание Bleeping Computer сообщило, что обновление KB5004945, предназначенное для устранения PrintNightmare, вывело из строя некоторые модели принтеров Zebra и Dymo.

После выхода патча пользователи стали массово жаловаться в Twitter и на Reddit (1234), что печать на принтерах для этикеток Zebra стала невозможна. По словам пострадавших, проблема затрагивала только принтеры, напрямую подключенные к Windows-устройствам через USB. Принтеры Zebra, подключенные к серверу печати, не пострадали.

«У нас около 1000 клиентов, использующих принтеры Zebra, и они заваливают нас звонками, потому что не могут печатать. Наверняка виновато это обновление, потому что после его отката [принтер] снова плюется [этикетками]», — пишет один из пользователей.

Сообщалось, что баг коснулся только определенных моделей Zebra, включая наиболее популярные: LP 2844, ZT220, ZD410, ZD500, ZD620, ZT230, ZT410 и ZT420.

Разработчики Zebra подтвердили, что им известно о проблеме. В компании советовали:

 «Немедленным способом решения проблемы является удаление обновления KB5004945  для Windows или удаление соответствующего драйвера принтера и его повторная установка с использованием учетных данных администратора».

Однако ситуация усугублялась тем, что это обязательное обновление безопасности, а значит, через некоторое время Windows автоматически установит его опять.

Интересно, что в Microsoft сообщили, что эти сбои вообще не связаны с CVE-2021-34527  и  CVE-2021-1675, но вызваны изменениями в preview-версии накопительного обновления за июнь 2021 года. Разработчики выпустили экстренные патчи для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, чтобы устранить баги.

«После установки обновлений KB5003690  или более поздних (в том числе дополнительных обновлений  KB500476  и  KB5004945) у вас могли возникнуть проблемы с печатью на определенных принтерах. Наиболее уязвимые устройства —  это принтеры для печати чеков и этикеток, которые подключаются через USB», — пишут разработчики Microsoft.

Исправления развертываются с помощью Microsoft Known Issue Rollback (KIR), которая распространяет патчи для известных ошибок через Windows Update. То есть патчи должны добраться до большинства пользователей в ближайшие сутки.

7 комментариев

  1. Аватар

    B4lTaZAR-QiTh1.0

    10.07.2021 в 13:49

    «Для этого должна быть активна политика Point and Print Restrictions» — Тоже не нашли русское название этой политики? 😅 Ну, ладно, я то нашел… но почему они так по разному называются?

    Хм.. и как всегда, с их обновлениями у людей что-то отваливается. Тут конечно не так сильно от них что-то зависело, но блин… *классика* 😆

  2. Аватар

    Killswitch1982

    10.07.2021 в 18:42

    Опять баги с принтерами? Да что у них там такое?

    • Аватар

      B4lTaZAR-QiTh1.0

      11.07.2021 в 03:29

      Старое наследие багованого легаси-кода.)) Это как с историей о ТЕРАКе 25.. там тоже программисту сказали, что старые библиотеки безопасны. Вот только баги с тем ПО убивали людей… 😯😓

  3. Аватар

    toxicshadow

    11.07.2021 в 16:52

    Поделитесь русским названием политики «Point and Print Restrictions»?
    Думаю многим полезно будет.

    • Аватар

      B4lTaZAR-QiTh1.0

      14.07.2021 в 22:02

      Ой! А я и подумал написать да чёт не сделал… «Ограничения указания и печати».
      Хотя если так посмотреть, то перевод верный, но блин, какие нафиг «указания»?? 😅
      Перевели бы топорно, чтобы ясно было о чем речь идет. И удивляет, что сама майкрософт не дублирует информацию по таким угрозам популярными языками мира.(хотя бы по популярности)
      Им что, сложно? 🤷‍♂️

Оставить мнение