Несмотря на второй патч, PrintNightmare снова вернулся
2 минута. читать
Обновление
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Microsoft борется с уязвимостью, при которой хакеры могут захватить компьютеры, устанавливая скомпрометированные драйверы принтеров, уже почти месяц, но, похоже, проблема более сложна и глубже, чем предполагала даже Microsoft.
несмотрянедавний патч которые изменили настройки по умолчанию в Windows 10 и запретили обычным пользователям устанавливать драйверы принтеров, хакеры нашли обходной путь, который по-прежнему позволял повышать привилегии для обычных пользователей.
Бенджамин Дельпи показал, что хакеры могут быстро получить системные привилегии, просто подключившись к удаленному серверу печати, используя директиву реестра CopyFile для копирования DLL-файла, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру. .
Microsoft признала проблему в рекомендательный CVE-2021-36958, говорит:
Уязвимость удаленного выполнения кода существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя.
Чтобы обойти эту уязвимость, остановите и отключите службу диспетчера очереди печати.
Хотя Microsoft называет это уязвимостью удаленного выполнения кода, эксплойт, по-видимому, представляет собой ошибку локального повышения привилегий, которая должна, по крайней мере, дать некоторую уверенность сетевым администраторам.
Microsoft еще раз рекомендует администраторам отключить диспетчер очереди печати и тем самым отключить печать из Windows. Другой обходной путь, не рекомендуемый Microsoft, заключается в ограничении принтеров, к которым вы можете подключиться, определенным списком с помощью групповой политики «Package Point and print — Approved server». Прочитайте, как это сделать на BleepingComputer здесь.