Microsoft заявляет, что PrintNightmare уже эксплуатируется, и предлагает обходной путь

Два дня назад мы сообщали о новой и неисправленной уязвимости нулевого дня, которая только что была выпущена, что дает злоумышленникам полные возможности удаленного выполнения кода на полностью исправленных устройствах Windows Print Spooler.

Взлом под названием PrintNightmare позволяет запускать код злоумышленника с полными системными привилегиями и был выпущен вместе с кодом Proof of Concept, поэтому хакеры могли его использовать.

Основным смягчающим фактором является то, что хакерам нужны некоторые учетные данные (даже с низким уровнем привилегий) для сети, но для корпоративных сетей их можно легко купить примерно за 3 доллара.

Теперь Microsoft наконец-то отреагировала на эту новость, опубликовав рекомендацию об уязвимости CVE-2021-34527 диспетчера очереди печати Windows, связанной с удаленным выполнением кода.

Microsoft говорит:

Корпорации Майкрософт известно об уязвимости удаленного выполнения кода, которая затрагивает диспетчер очереди печати Windows, и она исследует ее, и присвоила этой уязвимости код CVE-2021-34527. Это развивающаяся ситуация, и мы будем обновлять CVE по мере поступления дополнительной информации.

Уязвимость удаленного выполнения кода существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя.

В атаке должен участвовать аутентифицированный пользователь, вызывающий RpcAddPrinterDriverEx().

Убедитесь, что вы применили обновления безопасности, выпущенные 8 июня 2021 г., и см. разделы часто задаваемых вопросов и обходных путей в этом CVE для получения информации о том, как защитить вашу систему от этой уязвимости.

В своей оценке возможности использования они отмечают, что уже обнаружили эксплойты.

Microsoft предлагает следующий обходной путь, который, однако, отключает диспетчер очереди печати:

Определите, запущена ли служба диспетчера очереди печати (запуск от имени администратора домена).

Выполните следующее в качестве администратора домена:

Get-Service -Name Spooler

Если диспетчер очереди печати запущен или служба не отключена, выберите один из следующих параметров, чтобы либо отключить службу диспетчера очереди печати, либо отключить входящую удаленную печать с помощью групповой политики:

Вариант 1. Отключите службу диспетчера очереди печати

Если отключение службы диспетчера очереди печати подходит для вашего предприятия, используйте следующие команды PowerShell:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

Влияние обходного пути Отключение службы диспетчера очереди печати отключает возможность печати как локально, так и удаленно.

Вариант 2. Отключите входящую удаленную печать с помощью групповой политики.

Вы также можете настроить параметры с помощью групповой политики следующим образом:

Конфигурация компьютера/Административные шаблоны/Принтеры

Отключите политику «Разрешить диспетчеру очереди печати принимать клиентские подключения:», чтобы заблокировать удаленные атаки.

Влияние обходного пути Эта политика блокирует вектор удаленной атаки, предотвращая входящие операции удаленной печати. Система больше не будет работать как сервер печати, но локальная печать на напрямую подключенное устройство будет по-прежнему возможна.

Все подробности читайте в Microsoft здесь.