Unatoč drugoj zakrpi, PrintNightmare se ponovno vratio

Microsoft se već gotovo mjesec dana suočava s ranjivosti u kojoj hakeri mogu preuzeti računala instaliranjem kompromitiranih upravljačkih programa pisača, ali čini se da je problem složeniji i dublji nego što je čak i Microsoft očekivao.

Usprkosea nedavna zakrpa koji je promijenio zadane postavke u sustavu Windows 10 i spriječio standardne korisnike da instaliraju upravljačke programe pisača, hakeri su pronašli zaobilaznicu koja je i dalje dopuštala povećanje privilegija za standardne korisnike.

Benjamin Delpy je pokazao da hakeri mogu brzo steći privilegije SUSTAVA jednostavnim povezivanjem na udaljeni poslužitelj za ispis, korištenjem direktive registra CopyFile za kopiranje DLL datoteke koja klijentu otvara naredbeni redak zajedno s upravljačkim programom pisača kada se povežete s pisačem .

Microsoft je priznao problem u savjetodavni CVE-2021-36958, govoreći:

Ranjivost daljinskog izvršavanja koda postoji kada usluga Windows Print Spooler nepravilno izvodi operacije s privilegiranim datotekama. Napadač koji je uspješno iskoristio ovu ranjivost mogao bi pokrenuti proizvoljni kod s privilegijama SYSTEM. Napadač bi tada mogao instalirati programe; pregledavati, mijenjati ili brisati podatke; ili stvoriti nove račune s punim korisničkim pravima.

Zaobilazno rješenje ove ranjivosti je zaustavljanje i onemogućavanje usluge Print Spooler.

Iako Microsoft to naziva ranjivosti za daljinsko izvršavanje koda, čini se da je eksploatacija bug za eskalaciju lokalnih privilegija, koji bi barem trebao pružiti sigurnost mrežnim administratorima.

Microsoft još jednom preporučuje administratorima da onemoguće Print Spooler i na taj način onemoguće ispis iz Windowsa. Još jedno zaobilazno rješenje, koje Microsoft ne preporučuje, jest ograničiti pisače s kojima se možete povezati na određeni popis korištenjem grupne politike 'Package Point and print – Approved servers'. Pročitajte kako to učiniti na BleepingComputer ovdje.