Microsoft исправляет оставшиеся уязвимости Windows PrintNightmare

65
Сделка Microsoft и Activision дает спекулянтам по слияниям новую любимицу

Microsoft выпустила обновление для системы безопасности, чтобы исправить последние оставшиеся уязвимости нулевого дня PrintNightmare, которые позволили злоумышленникам быстро получить административные привилегии на устройствах Windows.

В июне была случайно обнаружена уязвимость диспетчера очереди печати Windows нулевого дня, получившая название PrintNightmare (CVE-2021-34527) . Эта уязвимость использует функцию Windows Point and Print для удаленного выполнения кода и получения привилегий локальной системы.

Хотя Microsoft выпустила два обновления безопасности для исправления различных уязвимостей PrintNightmare, другая уязвимость, публично раскрытая исследователем безопасности Бенджамином Делпи, по- прежнему позволяла злоумышленникам быстро получить системные привилегии, просто подключившись к удаленному серверу печати.

Как показано ниже, уязвимость Delpy использовала директиву CopyFiles для копирования и выполнения вредоносной библиотеки DLL с использованием привилегий SYSTEM, когда пользователь установил удаленный принтер. Как только эксплойт запускает DLL, он открывает окно консоли, в котором все команды выполняются с правами SYSTEM.

Что еще хуже, банды вымогателей, такие как Vice Society , Magniber и Conti , начали использовать ошибку, чтобы получить повышенные привилегии на взломанных устройствах.

Эта оставшаяся уязвимость PrintNightmare отслеживается как CVE-2021-36958 и приписывается Виктору Мата из FusionX, Accenture Security, который в частном порядке сообщил об ошибке Microsoft в декабре 2020 года.

Новое обновление безопасности исправляет ошибку PrintNightmare

В сегодняшних обновлениях безопасности во вторник, сентябрь 2021 года, Microsoft выпустила новое обновление безопасности для CVE-2021-36958, которое устраняет оставшуюся уязвимость PrintNightmare.

Делпи, который тестировал свой эксплойт с новым обновлением безопасности, подтвердил BleepingComputer, что ошибка теперь исправлена.

Помимо устранения уязвимости, Microsoft отключила функцию CopyFiles по умолчанию и добавила недокументированную групповую политику, которая позволяет администраторам снова включить ее.

Эту политику можно настроить в реестре Windows в разделе HKLM \ Software \ Policies \ Microsoft \ Windows NT \ Printers и добавив значение с именем  CopyFilesPolicy. Если установлено значение «1», CopyFiles будет снова включен.

Однако даже при включении Delpy сообщила BleepingComputer, что  с этой функцией можно использовать только файл Microsoft  C: \ Windows \ System32 \ mscms.dll.

Поскольку это изменение повлияет на поведение Windows по умолчанию, неясно, какие проблемы оно вызовет при печати в Windows.

В настоящее время Microsoft не опубликовала никакой информации об этой новой групповой политике, и она недоступна в редакторе групповой политики.

Помимо уязвимости PrintNightmare, сегодняшние обновления также исправляют активно эксплуатируемую уязвимость нулевого дня в Windows MSHTML .

Поскольку известно, что обе эти уязвимости используются злоумышленниками при атаках, критически важно как можно скорее установить сегодняшние обновления безопасности во вторник .

 

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии