Toisesta korjauspäivityksestä huolimatta PrintNightmare on taas palannut

Microsoft on käsitellyt haavoittuvuutta, jossa hakkerit voivat vallata PC:t asentamalla vaarantuneet tulostinajurit jo lähes kuukauden ajan, mutta ongelma näyttää olevan monimutkaisempi ja syvempi kuin edes Microsoft odotti.

Huolimattaea viimeisin korjaustiedosto joka muutti oletusasetuksia Windows 10:ssä ja esti tavallisia käyttäjiä asentamasta tulostinajureita, hakkerit ovat löytäneet ohituksen, joka silti salli tavallisten käyttäjien oikeuksien laajentamisen.

Benjamin Delpy on osoittanut, että hakkerit voivat saada nopeasti JÄRJESTELMÄN oikeudet yksinkertaisesti muodostamalla yhteyden etätulostuspalvelimeen ja kopioimalla CopyFile-rekisteridirektiivin avulla DLL-tiedoston, joka avaa komentokehotteen asiakkaalle sekä tulostinohjaimen, kun muodostat yhteyden tulostimeen. .

Microsoft on tunnustanut ongelman neuvoa-antava CVE-2021-36958, sanoen:

Koodin etäsuorittamisen haavoittuvuus syntyy, kun Windowsin taustatulostuspalvelu suorittaa virheellisesti suojattuja tiedostotoimintoja. Tätä haavoittuvuutta onnistuneesti hyödyntänyt hyökkääjä voi suorittaa mielivaltaisen koodin JÄRJESTELMÄ-oikeuksilla. Hyökkääjä voi sitten asentaa ohjelmia; tarkastella, muuttaa tai poistaa tietoja; tai luo uusia tilejä kaikilla käyttöoikeuksilla.

Tämän haavoittuvuuden kiertotapa pysäyttää ja poistaa käytöstä tulostuspohjapalvelun.

Vaikka Microsoft kutsuu sitä koodin etäsuorittamisen haavoittuvuudeksi, hyväksikäyttö näyttää olevan Local Privilege Escalation -virhe, jonka pitäisi ainakin tarjota jonkin verran varmuutta verkon järjestelmänvalvojille.

Microsoft suosittelee jälleen kerran, että järjestelmänvalvojat poistavat Print Spoolerin käytöstä ja poistavat siten tulostuksen Windowsista. Toinen ratkaisu, jota Microsoft ei suosittele, on rajoittaa tulostimet, joihin voit muodostaa yhteyden, tiettyyn luetteloon käyttämällä Package Point and Print – Hyväksytyt palvelimet -ryhmäkäytäntöä. Lue kuinka se tehdään täällä BleepingComputerissa.