Microsoft выпустила уведомление о новой уязвимости в Print Spooler (CVE-2021-36958), которая позволяет локальным злоумышленникам получить системные привилегии на компьютере. Новая уязвимость связана с другими ошибками типа PrintNightmare, которые строятся на злоупотреблении параметрами конфигурации Print Spooler, драйверов печати и функции Windows Point and Print.

Разработчики Microsoft уже выпускали патчи для PrintNightmare в июле и августе, однако проблема, исходно обнаруженная исследователем Бенджамином Делпи, по-прежнему позволяет злоумышленникам  быстро получать привилегии уровня System, просто подключившись к удаленному серверу печати.

Уязвимость использует директиву CopyFile для копирования файла DLL, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру. Хотя недавние обновления Microsoft изменили процедуру установки нового драйвера принтера таким образом, что для этого теперь требуются права администратора, права администратора не нужны для подключения к принтеру, если драйвер уже установлен. А если драйвер уже существует на стороне клиента и, следовательно, не требует установки, подключение к удаленному принтеру по-прежнему вызовет срабатывание CopyFile без прав администратора. Эта уязвимость позволяет скопировать DLL на сторону клиента и запустить, открыть командную строку с привилегиями System.

Теперь Microsoft выпустила уведомление безопасности, сообщив о новой уязвимости в Print Spooler, которая отслеживается как CVE-2021-36958.

«Уязвимость удаленного выполнения кода связана с тем, что диспетчер очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя», — пишут разработчики.

Для защиты от этой проблемы в компании вновь рекомендуют отключить Print Spooler.

Известный ИБ-эксперт и аналитик CERT/CC Уилл Дорманн сообщил изданию Bleeping Computer, что описание уязвимости CVE-2021-36958 полностью соответствует PoC-эксплоиту, который Делпи опубликовал в Twitter 10 августа.

Также журналисты заметили, что Microsoft классифицировала эту уязвимость как проблему удаленного выполнения кода, хотя атака должна выполняться локально. Уилл Дорман подтверждает, что речь явно идет о локальном повышении привилегий (на основании оценки по шкале CVSS 7.3/6.8). Эксперт полагает, что в ближайшие дни бюллетень безопасности обновят.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии