В прошлом месяце ИБ-специалисты нечаянно обнародовали PoC-эксплоит для опасной проблемы, связанной с работой службы Windows Print Spooler, которая является универсальным интерфейсом между ОС, приложениями и локальными или сетевыми принтерами, позволяя разработчикам приложений отправлять задания на печать.
В итоге для уязвимости был выпущен экстренный патч, который за неэффективность раскритиковали специалисты, однако в Microsoft заявили, что исправление работает как должно.
Но, как теперь сообщает издание Bleeping Computer, на этом проблемы Windows Print Spooler не окончены. ИБ-исследователь и создатель Mimikatz Бенджамин Делпи сообщил, что нашел способ злоупотребить обычным методом установки драйверов принтера в Windows и получить привилегии SYSTEM с помощью вредоносных драйверов. Причем этот способ работает даже в том случае, если администраторы приняли рекомендованные Microsoft меры по снижению рисков, ограничив установку драйверов принтера и отключив Point and Print.
#printnightmare - Episode 3
— ? Benjamin Delpy (@gentilkiwi) July 15, 2021
You know that even patched, with default config (or security enforced with #Microsoft settings), a standard user can load drivers as SYSTEM?
- Local Privilege Escalation - #feature pic.twitter.com/Zdge0okzKi
Хотя новый метод локального повышения привилегий отличается от эксплоита, который называют PrintNightmare, Делпи говорит, что это очень похожие ошибки, и их стоит рассматривать как единое целое. Эксперт объясняет, что в прошлом Microsoft уже пыталась предотвращать подобные атаки, отказавшись от поддержки драйверов принтера версии 3. Но в итоге это вызвало проблемы, и Microsoft отказалась от этой идеи в июне 2017 года.
К сожалению, данная проблема, скорее всего, так и не будет исправлена, поскольку Windows должна позволять администратору устанавливать драйверы принтера, даже если те могут быть заведомо вредоносными. Кроме того, Windows должна позволять пользователям без прав администратора устанавливать на свои устройства подписанные драйверы для простоты использования. А именно этими нюансами и злоупотребил Делпи.
Также стоит сказать, что на этой неделе Microsoft поделилась рекомендациями по устранению новой уязвимости Print Spooler, которая имеет идентификатор CVE-2021-34481. Проблема тоже связана с повышением привилегий через Print Spooler, и ее обнаружил специалист Dragos Джейкоб Бейнс.
В отличие от проблемы PrintNightmare, эту уязвимость можно использовать для повышения привилегий только локально. Бейнс подчеркивает, что CVE-2021-34481 и PrintNightmare не связаны, и представляю собой разные баги.
В настоящее время об этой проблеме известно мало, в том числе о том, какие версии Windows перед ней уязвимы. Бейнс говорит лишь о том, что баг как-то связан с драйвером принтера, а все детали исследователь обещает рассказать 7 августа, во время выступления на конференции DEF CON.
В настоящее время Microsoft попросту рекомендует отключить Print Spooler на уязвимой машине.