Microsoft исправляет оставшиеся уязвимости Windows PrintNightmare

24
Взломанные сайты подталкивают TeamViewer с помощью оповещения о поддельном сертификате с истекшим сроком действия

Microsoft выпустила обновление для системы безопасности, чтобы исправить последние оставшиеся уязвимости нулевого дня PrintNightmare, которые позволили злоумышленникам быстро получить административные привилегии на устройствах Windows.

В июне была случайно обнаружена уязвимость диспетчера очереди печати Windows нулевого дня, получившая название PrintNightmare (CVE-2021-34527) . Эта уязвимость использует функцию Windows Point and Print для удаленного выполнения кода и получения привилегий локальной системы.

Хотя Microsoft выпустила два обновления безопасности для исправления различных уязвимостей PrintNightmare, другая уязвимость, публично раскрытая исследователем безопасности Бенджамином Делпи, по- прежнему позволяла злоумышленникам быстро получить системные привилегии, просто подключившись к удаленному серверу печати.

Как показано ниже, уязвимость Delpy использовала директиву CopyFiles для копирования и выполнения вредоносной библиотеки DLL с использованием привилегий SYSTEM, когда пользователь установил удаленный принтер. Как только эксплойт запускает DLL, он открывает окно консоли, в котором все команды выполняются с правами SYSTEM.

Что еще хуже, банды вымогателей, такие как Vice Society , Magniber и Conti , начали использовать ошибку, чтобы получить повышенные привилегии на взломанных устройствах.

Эта оставшаяся уязвимость PrintNightmare отслеживается как CVE-2021-36958 и приписывается Виктору Мата из FusionX, Accenture Security, который в частном порядке сообщил об ошибке Microsoft в декабре 2020 года.

Новое обновление безопасности исправляет ошибку PrintNightmare

В сегодняшних обновлениях безопасности во вторник, сентябрь 2021 года, Microsoft выпустила новое обновление безопасности для CVE-2021-36958, которое устраняет оставшуюся уязвимость PrintNightmare.

Делпи, который тестировал свой эксплойт с новым обновлением безопасности, подтвердил BleepingComputer, что ошибка теперь исправлена.

Помимо устранения уязвимости, Microsoft отключила функцию CopyFiles по умолчанию и добавила недокументированную групповую политику, которая позволяет администраторам снова включить ее.

Эту политику можно настроить в реестре Windows в разделе HKLM \ Software \ Policies \ Microsoft \ Windows NT \ Printers и добавив значение с именем  CopyFilesPolicy. Если установлено значение «1», CopyFiles будет снова включен.

Однако даже при включении Delpy сообщила BleepingComputer, что  с этой функцией можно использовать только файл Microsoft  C: \ Windows \ System32 \ mscms.dll.

Поскольку это изменение повлияет на поведение Windows по умолчанию, неясно, какие проблемы оно вызовет при печати в Windows.

В настоящее время Microsoft не опубликовала никакой информации об этой новой групповой политике, и она недоступна в редакторе групповой политики.

Помимо уязвимости PrintNightmare, сегодняшние обновления также исправляют активно эксплуатируемую уязвимость нулевого дня в Windows MSHTML .

Поскольку известно, что обе эти уязвимости используются злоумышленниками при атаках, критически важно как можно скорее установить сегодняшние обновления безопасности во вторник .

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here