Безопасность диспетчера очереди печати Windows 10 от Microsoft превращается в головную боль для компании и ее клиентов.
Фирменные ошибки, такие как Heartbleed от 2014 года, немного устарели, но ошибки Windows 10 PrintNightmare кажутся подходящим выбором: Microsoft выпустила исправления в июле и августе, и сразу же после изменения службы диспетчера очереди печати 10 августа сразу после изменения службы диспетчера очереди печати обнаружила еще одну ошибку.
Это касается уязвимости удаленного выполнения кода диспетчера очереди печати Windows, помеченной как CVE-2021-36958.
SEE: Разработчики вредоносных программ обращаются к «экзотическим» языкам программирования, чтобы помешать исследователям
«Уязвимость удаленного выполнения кода существует, когда Windows Print Spooler служба неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя. Обходной путь для этого "Уязвимость заключается в остановке и отключении службы диспетчера очереди печати", — говорится в сообщении Microsoft.
Ранее обнаруженная ошибка CVE-2021-34481 в службе диспетчера очереди печати Windows позволяет локальному злоумышленнику повысить привилегии до уровня «системы». , позволяя злоумышленнику установить вредоносное ПО и создать новые учетные записи на компьютерах с Windows 10.
Чтобы уменьшить потенциальные угрозы, Microsoft на этой неделе выпустила обновление, которое изменяет поведение по умолчанию для функций Point and Print в Windows, что не позволяет обычному пользователю добавлять или обновлять принтеры. После установки Windows 10 потребуются права администратора для установки этих изменений драйвера.
Хотя это потребует дополнительной работы для администраторов, Microsoft заявляет, что "твердо" уверена, что угроза безопасности оправдывает это изменение.
Администраторы могут отключить защиту Microsoft, но подчеркнули, что это " подвергнет вашу среду общеизвестным уязвимостям в службе диспетчера очереди печати Windows. "
Проблемы, влияющие на службу диспетчера очереди печати, за лето обострились в результате того, что исследователи обнаружили различные способы атаки на набор недостатков.
CVE-2021-36958 и другая ошибка PrintNightmare, отслеживаемая как CVE-2021-34483, были сообщены в Microsoft исследователем безопасности Accenture Виктором Мата, который сообщил о проблемах в декабре. Другие связанные ошибки диспетчера очереди печати включают CVE-2021-1675 и CVE-2021-34527.
SEE: Треть сотрудников службы кибербезопасности сталкивалась с преследованием на работе или в Интернете — эта инициатива направлена на то, чтобы искоренить это
Уилл Дорманн, a Аналитик уязвимостей из CERT / CC указал на явно неполные исправления в обновлениях во вторник августа 2021 года.
Как он отмечает, исследователь безопасности Бенджамин Делпи в июле выпустил доказательство концепции одной из ошибок PrintNightmare. Дорманн сообщил Microsoft, что PoC Delpy все еще работает 11 августа, на следующий день после августовского вторника патчей. Доказательство концепции Делпи — это то, что побудило Microsoft последнее раскрытие CVE-2021-36958, по словам Дормана.
«Microsoft исправила * кое-что *, связанное с вашей атакой, в своем обновлении для CVE-2021-36936, в котором ничего не говорится о том, что оно исправляет. Например, мой PoC для VU # 131152 теперь запрашивает права администратора. Однако PoC @ gentilkiwi по-прежнему работает нормально. Пора MS выпустить новую CVE? », — написал Дорманн.
