Microsoft подтверждает еще одну ошибку нулевого дня в диспетчере очереди печати Windows

36
Взломанные сайты подталкивают TeamViewer с помощью оповещения о поддельном сертификате с истекшим сроком действия

Microsoft выпустила уведомление о другой уязвимости диспетчера очереди печати Windows нулевого дня, отслеживаемой как CVE-2021-36958, которая позволяет локальным злоумышленникам получить системные привилегии на компьютере.

Эта уязвимость является частью класса ошибок, известных как « PrintNightmare» , которые злоупотребляют параметрами конфигурации для диспетчера очереди печати Windows, драйверов печати и функции Windows Point and Print.

Microsoft выпустила обновления безопасности как в июле, так и в августе, чтобы исправить различные уязвимости PrintNightmare.

Однако уязвимость, обнаруженная исследователем безопасности Бенджамином Делпи, по- прежнему позволяет злоумышленникам быстро получить системные привилегии, просто подключившись к удаленному серверу печати, как показано ниже.

Эта уязвимость использует директиву реестра CopyFile для копирования файла DLL, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру.

В то время как недавние обновления безопасности Microsoft изменили процедуру установки нового драйвера принтера, так что для нее требуются права администратора, вам не потребуется вводить права администратора для подключения к принтеру, если этот драйвер уже установлен.

Более того, если драйвер существует на клиенте и, следовательно, не требует установки, подключение к удаленному принтеру по-прежнему будет выполнять директиву CopyFile для пользователей без прав администратора. Эта слабость позволяет скопировать DLL Delpy на клиент и запустить ее, чтобы открыть командную строку уровня СИСТЕМЫ.

Microsoft выпускает рекомендации по CVE-2021-36958

Сегодня Microsoft выпустила уведомление о новой уязвимости Windows Print Spooler, которая отслеживается как CVE-2021-36958.

«Уязвимость удаленного выполнения кода существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции», – говорится в сообщении CVE-2021-36958 .

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя».

«Чтобы обойти эту уязвимость, остановите и отключите службу диспетчера очереди печати».

Уилл Дорманн , аналитик уязвимостей CERT / CC, сообщил BleepingComputer, что Microsoft подтвердила, что CVE-2021-36958 соответствует эксплойту PoC, опубликованному Delpy в Twitter и описанному выше.

Как ни странно, Microsoft классифицировала это как уязвимость удаленного выполнения кода, хотя атака должна выполняться локально на компьютере.

Когда BleepingComputer попросил Дормана уточнить, была ли это неправильная маркировка, нам сказали, что «это явно локальный (LPE)», на основании оценки CVSS: 3.0 7.3 / 6.8.

«Они только что переработали». Существует уязвимость удаленного выполнения кода, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции »: https://google.com/search?q=%22A+ . Дорманн сказал BleepingComputer.

Microsoft, вероятно, обновит свои рекомендации в ближайшие несколько дней, чтобы изменить свой рейтинг «воздействия» на «Повышение привилегий».

Устранение уязвимости CVE-2021-36958

Microsoft еще не выпустила обновление безопасности для этой уязвимости, но заявляет, что вы можете удалить вектор атаки, отключив диспетчер очереди печати.

Поскольку отключение диспетчера очереди печати не позволит вашему устройству печатать, лучший способ – разрешить устройству устанавливать принтеры только с авторизованных серверов.

Это ограничение может быть выполнено с помощью групповой политики «Упаковать и печатать – утвержденные серверы», не позволяя пользователям без прав администратора устанавливать драйверы печати с помощью «Указать и печатать», если сервер печати не включен в список одобренных.

Чтобы включить эту политику, запустите редактор групповой политики (gpedit.msc) и перейдите в раздел «Конфигурация пользователя» > «Административные шаблоны» > «Панель управления» > «Принтеры» > «Точка пакета и печать – утвержденные серверы» .

При включении политики введите список серверов, которые вы хотите разрешить использовать в качестве сервера печати, а затем нажмите  OK,  чтобы включить политику. Если в вашей сети нет сервера печати, вы можете ввести вымышленное имя сервера, чтобы включить эту функцию.

Использование этой групповой политики обеспечит наилучшую защиту от эксплойтов CVE-2021-36958, но не помешает злоумышленникам захватить авторизованный сервер печати с вредоносными драйверами.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here