Был выпущен бесплатный неофициальный патч для защиты пользователей Windows от всех новых уязвимостей нулевого дня PrintNightmare, обнаруженных с июня.
Технические подробности и эксплойт PoC для новой уязвимости диспетчера очереди печати Windows под названием «PrintNightmare» (CVE-2021-34527) были случайно раскрыты в июне.
Эта уязвимость делает возможным удаленное выполнение кода и повышение локальных привилегий путем установки вредоносных драйверов принтера.
В то время как Microsoft выпустила обновление безопасности для части удаленного выполнения кода, исследователи быстро обошли компонент повышения локальных привилегий. С тех пор исследователь безопасности и создатель Mimikatz Бенджамин Делпи разрабатывает новые уязвимости, нацеленные на диспетчер очереди печати, которые остаются не исправленными.
Это критические уязвимости, поскольку они позволяют любому получить системные привилегии на локальном устройстве, даже на контроллере домена, просто подключившись к удаленному серверу печати, доступному через Интернет, и установив вредоносный драйвер печати.
Как только злоумышленник получает привилегии SYSTEM, игра для системы окончена. Если это делается на контроллере домена, злоумышленник теперь эффективно контролирует домен Windows.
Выпущен бесплатный микропатч PrintNightmare
Устранение уязвимостей нулевого дня PrintNightmare уже доступно через групповую политику PackagePointAndPrintServerList , которая позволяет указать белый список утвержденных серверов печати, которые можно использовать для установки драйвера печати.
Включение этой политики вместе с поддельным именем сервера эффективно блокирует эксплойты Delpy, поскольку сервер печати будет заблокирован.
Однако для тех, кто хочет установить патч и не пытаться понять рекомендации и возиться с групповыми политиками, Митя Колсек, соучредитель службы микропатчинга 0patch , выпустил бесплатный микропатч, который можно использовать для исправления всех известных уязвимостей PrintNightmare.
«Поэтому мы решили реализовать обходной путь на основе групповой политики в виде микропатча, блокирующего установку драйвера принтера Point and Print с ненадежных серверов. Этот обходной путь использует настройки групповой политики: для параметра« Использовать только пакет Point and Print »сначала требуется, чтобы все драйверы принтера были в форма подписанного пакета, в то время как «Package Point and print — Approved servers» ограничивает набор серверов, с которых разрешено устанавливать пакеты драйверов принтера ». Колсек объясняет в своем блоге .
«Эти параметры настраиваются через реестр. Наш патч изменяет функцию DoesPolicyAllowPrinterConnectionsToServer в win32spl.dll таким образом, что она считает, что значения PackagePointAndPrintOnly и PackagePointAndPrintServerList существуют и установлены в 1, что включает обе политики и оставляет список одобренных серверов пустым».
Вам необходимо зарегистрировать учетную запись 0patch, а затем установить агент на вашем устройстве Windows для установки патча. После установки 0patch автоматически защитит вас от уязвимости PrintNightmare и других неисправленных ошибок.
Хотя 0patch является важным инструментом для блокировки незащищенных уязвимостей, Делпи говорит, что в этом конкретном случае включение групповых политик, которые блокируют использование всех известных ошибок PrintNightmare, может быть лучшим подходом.
«Если вы отправляете двоичные файлы на компьютер, чтобы передать настройки… вы также можете передать настройки», — сказала Дельпи BleepingComputer.
Последнее обновление 05.01.2023
