Ранее на этой неделе многие ИБ-исследователи предупреждали, что экстренный патч для опасной уязвимости PrintNightmare оказался неэффективен и не устранял проблему окончательно. Напомню, что эксперты обнаружили, что даже после установки исправления уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM.
Хуже того, разработчик Mimikatz Бенджамин Делп сообщал, что патч можно обойти полностью и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода. Для этого должна быть активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».
Dealing with strings & filenames is hard?
— ? Benjamin Delpy (@gentilkiwi) July 7, 2021
New function in #mimikatz ?to normalize filenames (bypassing checks by using UNC instead of \servershare format)
So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
Теперь в Microsoft ответили на эти предупреждения и сообщили, что патч работает корректно:
«Наше расследование показало, что внеплановое обновление безопасности работает должным образом и эффективно против известных эксплоитов и других публичных отчетов, которые в совокупности известны как PrintNightmare. Все изученные нами отчеты были основаны на изменении настроек реестра по умолчанию, связанных с функцией Point and Print, на небезопасную конфигурацию», — заявили в компании.
Также инженеры Microsoft обновили руководство по исправлению проблемы PrintNightmare и по-прежнему призывают пользователей установить патчи как можно скорее. Теперь руководство выглядит так:
- в любом случае применить патч для CVE-2021-34527 (обновление не изменит существующие настройки реестра);
- после применения обновления проверить параметры реестра, задокументированные в описании CVE-2021-34527;
- если перечисленные там ключи реестра не существуют, дальнейшие действия не требуются;
- если ключи реестра существуют, для защиты системы необходимо подтвердить, что для следующих ключей реестра установлены значения 0 (ноль) или они отсутствуют:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
NoWarningNoElevationOnInstall = 0 (DWORD) или неопределенно (по умолчанию)
UpdatePromptSettings = 0 (DWORD) или неопределенно (по умолчанию).
Однако помимо вопросов к эффективности внепланового патча с ним возникли и другие трудности. Издание Bleeping Computer сообщило, что обновление KB5004945, предназначенное для устранения PrintNightmare, вывело из строя некоторые модели принтеров Zebra и Dymo.
После выхода патча пользователи стали массово жаловаться в Twitter и на Reddit (1, 2, 3, 4), что печать на принтерах для этикеток Zebra стала невозможна. По словам пострадавших, проблема затрагивала только принтеры, напрямую подключенные к Windows-устройствам через USB. Принтеры Zebra, подключенные к серверу печати, не пострадали.
«У нас около 1000 клиентов, использующих принтеры Zebra, и они заваливают нас звонками, потому что не могут печатать. Наверняка виновато это обновление, потому что после его отката [принтер] снова плюется [этикетками]», — пишет один из пользователей.
Сообщалось, что баг коснулся только определенных моделей Zebra, включая наиболее популярные: LP 2844, ZT220, ZD410, ZD500, ZD620, ZT230, ZT410 и ZT420.
Разработчики Zebra подтвердили, что им известно о проблеме. В компании советовали:
«Немедленным способом решения проблемы является удаление обновления KB5004945 для Windows или удаление соответствующего драйвера принтера и его повторная установка с использованием учетных данных администратора».
Однако ситуация усугублялась тем, что это обязательное обновление безопасности, а значит, через некоторое время Windows автоматически установит его опять.
Интересно, что в Microsoft сообщили, что эти сбои вообще не связаны с CVE-2021-34527 и CVE-2021-1675, но вызваны изменениями в preview-версии накопительного обновления за июнь 2021 года. Разработчики выпустили экстренные патчи для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, чтобы устранить баги.
«После установки обновлений KB5003690 или более поздних (в том числе дополнительных обновлений KB500476 и KB5004945) у вас могли возникнуть проблемы с печатью на определенных принтерах. Наиболее уязвимые устройства — это принтеры для печати чеков и этикеток, которые подключаются через USB», — пишут разработчики Microsoft.
Исправления развертываются с помощью Microsoft Known Issue Rollback (KIR), которая распространяет патчи для известных ошибок через Windows Update. То есть патчи должны добраться до большинства пользователей в ближайшие сутки.
