Microsoft admite noul atac Print Spool LPE (CVE-2021-34481)

Un pic ca un film de groază, de îndată ce Microsoft crede că PrintNightmare s-a terminat, apare un alt vector de atac.

MSRC a postat un avertisment (CVE-2021-34481) informând administratorii că, în ciuda faptului că și-au corectat recent PC-urile împotriva PrintNightmare, a fost descoperit un nou atac care îi lasă PC-ul vulnerabil la compromis.

Microsoft observă că există o vulnerabilitate la creșterea privilegiilor atunci când serviciul Windows Print Spooler efectuează necorespunzător operațiuni cu fișiere privilegiate. Un atacator care a exploatat cu succes această vulnerabilitate ar putea rula cod arbitrar cu privilegii SYSTEM. Un atacator ar putea apoi să instaleze programe; vizualizați, modificați sau ștergeți datele; sau creați conturi noi cu drepturi complete de utilizator.

Spre deosebire de PrintNightmare original, totuși, acest atac nu este o exploatare de cod de la distanță, iar atacatorul trebuie să aibă capacitatea de a executa cod pe un sistem victimă pentru a exploata această vulnerabilitate. Bineînțeles, poate fi înlănțuit cu o altă vulnerabilitate și permite ca exploatarea să-și ridice privilegiile. Microsoft observă că nu necesită intervenția utilizatorului pentru a se executa.

Microsoft nu a lansat încă un patch pentru noua eroare, dar notează ca o soluție de soluție oprirea și dezactivarea serviciului Print Spooler este eficientă.

Citiți mai multe despre atacul de la Microsoft aici.