Привет, соскучились по обновлению винды? Это хорошо, потому как появился эксплойт для новой уязвимости CVE-2021-1675 7.8 баллов по шкале CVSS:3.1. В Интернете говорят что патч был в июне, но два часа назад вышла статья на гитхабе, где уязвимость волшебным образом применяется на полностью пропатченном контроллере домена Windows Server 2019. Кому верить?
Уязвимость получила название PrintNightmare и затрагивает службу печати Windows. Уязвимы все версии Windows начиная с XP. Изначально баг был классифицирован как уязвимость повышения привилегий LPE, но потом уровень опасности повысили до RCE, уязвимость удаленного выполнения кода.
😱
Для быстрого избавления от проблемы можно отключить Spooler service:
Stop-Service Spooler
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f
Или удалить службу печати:
Uninstall-WindowsFeature Print-Services
Эксплойт выложили ИБ-специалисты из компании Sangfor, которые хотели использовать его в соревновании Tianfu Cup и на конференции по кибербезопасности Black Hat USA 2021, но слили в сеть, когда узнали, что в другой компании QiAnXin кунг-фу не слабее. Хотя ИБ-специалисты QiAnXin показали всего лишь gif картинку с процессом эксплуатации уязвимости, без явных подробностей.
Обновляемся, нельзя недооценивать уязвимости в spoolsv.exe. Десять лет назад ошибка LPE в Windows Printer Spooler была использована в черве Stuxnet, который вывел из строя 1000 центрифуг ядерного обогащения Ирана и заразил более 45000 сетей.
Ссылки
https://github.com/afwu/PrintNightmare
https://github.com/cube0x0/CVE-2021-1675
Источник:
https://internet-lab.ru/cve_printnightmare
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.