Исследователи заявили, что экстренное исправление, выпущенное Microsoft, не может полностью устранить критическую уязвимость безопасности во всех поддерживаемых версиях Windows, которая позволяет злоумышленникам контролировать зараженные системы и запускать код по своему выбору. Угроза, в просторечии известная как PrintNightmare, связана с ошибками в спулере печати (набор компонентов Microsoft Windows, управляющих процессом печати) Windows, который обеспечивает функциональность печати в локальных сетях. Код эксплойта, подтверждающий концепцию, был публично выпущен, а затем отозван, но не раньше, чем его скопировали другие. Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой. При этом потенциально злоумышленники могут использовать их для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах.
Злоумышленники могут использовать его удаленно, когда возможности печати доступны в Интернете. Злоумышленники также могут использовать его для повышения системных привилегий, как только они использовали другую уязвимость, чтобы получить доступ к уязвимой сети. В любом случае противники могут затем получить контроль над контроллером домена, который как сервер, выполняющий проверку подлинности локальных пользователей, является одним из наиболее чувствительных к безопасности ресурсов в любой сети Windows.
“Это самая крупная сделка, с которой я имел дело за очень долгое время”, - сказал Уилл Дорманн, старший аналитик по уязвимостям в Координационном центре CERT, некоммерческом проекте, финансируемом из федерального бюджета США, который исследует ошибки в программном обеспечении и работает с бизнесом и правительством для повышения безопасности. “Каждый раз, когда появляется общедоступный код эксплойта для незащищенной уязвимости, которая может скомпрометировать контроллер домена Windows, это плохая новость”.
После того, как стала известна серьезность ошибки, Microsoft опубликовала внеполосное исправление. Microsoft заявила, что обновление “полностью устраняет публичную уязвимость". Но на следующий день — чуть более чем через 12 часов после релиза —исследователь показал, как эксплойты могут обойти патч.
Было опубликовано видео, в котором был показан наспех написанный эксплойт, работающий против Windows Server 2019, на котором был установлен внеполосный патч. Демонстрация показывает, что обновление не устраняет уязвимые системы, в которых используются определенные настройки для функции "Точка и печать", что облегчает пользователям сети получение необходимых им драйверов принтера.
Неполный патч - это последняя ошибка, связанная с уязвимостью PrintNightmare. В прошлом месяце ежемесячный пакет исправлений Microsoft исправил CVE-2021-1675, ошибку диспетчера очереди печати, которая позволяла хакерам с ограниченными системными правами на компьютере повышать привилегии до администратора. Microsoft приписала Чжипенгу Хо из Tencent Security, Петру Мадею из Afine и Юньхаю Чжану из Nsfocus обнаружение и сообщение об ошибке.
Чтобы обезопасить себя необходимо срочно поставить патчи от Microsoft: июньский, закрывающий уязвимость CVE-2021-1675, и, самое главное, июльский, который позволяет обезопасить систему от CVE-2021-34527. Если по каким-то причинам вы не можете установить эти патчи, Microsoft предлагает два варианта обходных маневров (доступны по той же ссылке, что и патч), один из которых даже не требует отключения диспетчера очереди печати.