Несмотря на второй патч, PrintNightmare снова вернулся

Microsoft борется с уязвимостью, при которой хакеры могут захватить компьютеры, устанавливая скомпрометированные драйверы принтеров, уже почти месяц, но, похоже, проблема более сложна и глубже, чем предполагала даже Microsoft.

несмотрянедавний патч которые изменили настройки по умолчанию в Windows 10 и запретили обычным пользователям устанавливать драйверы принтеров, хакеры нашли обходной путь, который по-прежнему позволял повышать привилегии для обычных пользователей.

Бенджамин Дельпи показал, что хакеры могут быстро получить системные привилегии, просто подключившись к удаленному серверу печати, используя директиву реестра CopyFile для копирования DLL-файла, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру. .

Microsoft признала проблему в рекомендательный CVE-2021-36958, говорит:

Уязвимость удаленного выполнения кода существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя.

Чтобы обойти эту уязвимость, остановите и отключите службу диспетчера очереди печати.

Хотя Microsoft называет это уязвимостью удаленного выполнения кода, эксплойт, по-видимому, представляет собой ошибку локального повышения привилегий, которая должна, по крайней мере, дать некоторую уверенность сетевым администраторам.

Microsoft еще раз рекомендует администраторам отключить диспетчер очереди печати и тем самым отключить печать из Windows. Другой обходной путь, не рекомендуемый Microsoft, заключается в ограничении принтеров, к которым вы можете подключиться, определенным списком с помощью групповой политики «Package Point and print — Approved server». Прочитайте, как это сделать на BleepingComputer здесь.