Kljub drugemu popravku se PrintNightmare spet vrača

Microsoft se že skoraj mesec dni ukvarja z ranljivostjo, pri kateri lahko hekerji prevzamejo računalnike z namestitvijo ogroženih gonilnikov tiskalnika, vendar se zdi, da je težava bolj zapletena in globlja, kot je celo Microsoft pričakoval.

Kljubea nedavni popravek ki je spremenil privzete nastavitve v sistemu Windows 10 in uporabnikom Standard preprečil namestitev gonilnikov tiskalnika, so hekerji našli obvod, ki je še vedno omogočal povečanje privilegijev za standardne uporabnike.

Benjamin Delpy je pokazal, da lahko hekerji hitro pridobijo SISTEMSKE privilegije preprosto tako, da se povežejo z oddaljenim tiskalnim strežnikom, z uporabo direktive registra CopyFile za kopiranje datoteke DLL, ki odpre ukazni poziv odjemalcu skupaj z gonilnikom tiskalnika, ko se povežete s tiskalnikom. .

Microsoft je to težavo priznal v svetovalni CVE-2021-36958, rekoč:

Ranljivost pri izvajanju kode na daljavo obstaja, ko storitev Windows Print Spooler nepravilno izvaja privilegirane datotečne operacije. Napadalec, ki je uspešno izkoristil to ranljivost, bi lahko zagnal poljubno kodo s privilegiji SYSTEM. Napadalec bi lahko nato namestil programe; ogled, spreminjanje ali brisanje podatkov; ali ustvarite nove račune s polnimi uporabniškimi pravicami.

Rešitev te ranljivosti je ustavitev in onemogočanje storitve tiskanja v ozadju.

Medtem ko Microsoft to imenuje ranljivost za oddaljeno izvajanje kode, se zdi, da je izkoriščanje napaka lokalnega stopnjevanja privilegijev, ki bi morala skrbnikom omrežja zagotoviti vsaj nekaj zagotovila.

Microsoft znova priporoča, da skrbniki onemogočijo Print Spooler in s tem onemogočijo tiskanje iz sistema Windows. Druga rešitev, ki je Microsoft ne priporoča, je, da omejite tiskalnike, s katerimi se lahko povežete, na določen seznam z uporabo pravilnika skupine »Package Point and print – Approved servers«. Preberite, kako to storiti na BleepingComputer tukaj.