Microsoft призналась в новой атаке Print Spool LPE (CVE-2021-34481)

Немного похоже на фильм ужасов, как только Microsoft думает, что их PrintNightmare закончился, всплывает другой вектор атаки.

MSRC опубликовал бюллетень (CVE-2021-34481), информирующий администраторов о том, что, несмотря на то, что они недавно установили исправление для своих ПК против PrintNightmare, была обнаружена новая атака, которая делает их ПК уязвимыми для компрометации.

Microsoft отмечает, что существует уязвимость повышения привилегий, когда служба диспетчера очереди печати Windows неправильно выполняет операции с привилегированными файлами. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с системными привилегиями. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя.

Однако, в отличие от оригинальной PrintNightmare, эта атака не является эксплойтом удаленного кода, и злоумышленник должен иметь возможность выполнить код в системе-жертве, чтобы использовать эту уязвимость. Конечно, его можно связать с другой уязвимостью и позволить этому эксплойту повысить свои привилегии. Microsoft отмечает, что для его выполнения не требуется вмешательства пользователя.

Microsoft еще не выпустила исправление для новой ошибки, но отмечает, что обходной путь, заключающийся в остановке и отключении службы диспетчера очереди печати, эффективен.

Подробнее об атаке на Microsoft здесь.