Microsoft выпустила уведомление о новой уязвимости в Print Spooler (CVE-2021-36958), которая позволяет локальным злоумышленникам получить системные привилегии на компьютере. Новая уязвимость связана с другими ошибками типа PrintNightmare, которые строятся на злоупотреблении параметрами конфигурации Print Spooler, драйверов печати и функции Windows Point and Print.
Разработчики Microsoft уже выпускали патчи для PrintNightmare в июле и августе, однако проблема, исходно обнаруженная исследователем Бенджамином Делпи, по-прежнему позволяет злоумышленникам быстро получать привилегии уровня System, просто подключившись к удаленному серверу печати.
Great #patchtuesday Microsoft, but did you not forgot something for #printnightmare? ?
— ? Benjamin Delpy (@gentilkiwi) August 10, 2021
Still SYSTEM from standard user...
(I may have missed something, but #mimikatz?mimispool library still loads... ?♂️) pic.twitter.com/OWOlyLWhHI
Уязвимость использует директиву CopyFile для копирования файла DLL, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру. Хотя недавние обновления Microsoft изменили процедуру установки нового драйвера принтера таким образом, что для этого теперь требуются права администратора, права администратора не нужны для подключения к принтеру, если драйвер уже установлен. А если драйвер уже существует на стороне клиента и, следовательно, не требует установки, подключение к удаленному принтеру по-прежнему вызовет срабатывание CopyFile без прав администратора. Эта уязвимость позволяет скопировать DLL на сторону клиента и запустить, открыть командную строку с привилегиями System.
August PatchTuesday #printnightmare pic.twitter.com/qKex6THgBq
— ? Benjamin Delpy (@gentilkiwi) August 11, 2021
Теперь Microsoft выпустила уведомление безопасности, сообщив о новой уязвимости в Print Spooler, которая отслеживается как CVE-2021-36958.
«Уязвимость удаленного выполнения кода связана с тем, что диспетчер очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя», — пишут разработчики.
Для защиты от этой проблемы в компании вновь рекомендуют отключить Print Spooler.
Известный ИБ-эксперт и аналитик CERT/CC Уилл Дорманн сообщил изданию Bleeping Computer, что описание уязвимости CVE-2021-36958 полностью соответствует PoC-эксплоиту, который Делпи опубликовал в Twitter 10 августа.
Также журналисты заметили, что Microsoft классифицировала эту уязвимость как проблему удаленного выполнения кода, хотя атака должна выполняться локально. Уилл Дорман подтверждает, что речь явно идет о локальном повышении привилегий (на основании оценки по шкале CVSS 7.3/6.8). Эксперт полагает, что в ближайшие дни бюллетень безопасности обновят.
