Přes druhý patch je PrintNightmare opět zpět

Microsoft se již téměř měsíc potýká se zranitelností, kdy hackeři mohou převzít počítače instalací kompromitovaných ovladačů tiskáren, ale zdá se, že problém je složitější a hlubší, než dokonce Microsoft předpokládal.

opovrhovatnedávný patch který změnil výchozí nastavení ve Windows 10 a zabránil standardním uživatelům v instalaci ovladačů tiskáren, hackeři našli obejití, které stále umožňovalo eskalaci oprávnění pro standardní uživatele.

Benjamin Delpy ukázal, že hackeři mohou rychle získat oprávnění SYSTEM jednoduše připojením ke vzdálenému tiskovému serveru, pomocí direktivy registru CopyFile ke zkopírování souboru DLL, který otevře klientovi příkazový řádek spolu s tiskovým ovladačem, když se připojíte k tiskárně. .

Microsoft přiznal problém v poradenský CVE-2021-36958, říká:

Pokud služba zařazování tisku systému Windows nesprávně provádí operace s privilegovanými soubory, existuje chyba zabezpečení umožňující vzdálené spuštění kódu. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl spustit libovolný kód s oprávněními SYSTEM. Útočník by pak mohl instalovat programy; prohlížet, měnit nebo mazat data; nebo vytvořit nové účty s plnými uživatelskými právy.

Řešením této chyby zabezpečení je zastavení a zakázání služby zařazování tisku.

I když to Microsoft nazývá zranitelností pro vzdálené spuštění kódu, exploit se zdá být chybou Local Privilege Escalation, což by mělo poskytnout alespoň určitou jistotu pro správce sítě.

Společnost Microsoft opět doporučuje, aby správci zakázali službu Print Spooler, a tím zakázali tisk ze systému Windows. Dalším řešením, které společnost Microsoft nedoporučuje, je omezit tiskárny, ke kterým se můžete připojit, na konkrétní seznam pomocí zásad skupiny „Umístit balíček a vytisknout – schválené servery“. Přečtěte si, jak na to na BleepingComputer zde.