Китайские исследователи безопасности случайно обнаружили новую уязвимость Windows нулевого дня под названием PrintNightmare, которую можно использовать как для удаленного выполнения кода, так и для локального повышения привилегий. Исследователи из Sangfor Technologies, расположенной в городе Шэньчжэнь, выпустили тестовый эксплойт для критической уязвимости во встроенной службе диспетчера очереди печати Windows, поскольку они думали, что Microsoft уже исправила ее. Оказывается, Microsoft выпустила патч для устранения этой уязвимости (отслеживаемой как CVE-2021-6775) в начале июня, хотя на тот момент она считалась низкой степенью серьезности. Однако в середине июня PrintNightmare был обновлен с критической уязвимостью, поскольку было обнаружено, что ее можно использовать для удаленного выполнения кода. Что еще хуже, патч Microsoft, выпущенный ранее в этом месяце, не устранил эту проблему.
Распечатать Кошмар
PrintNightmare влияет на диспетчер очереди печати, который по умолчанию включен на всех компьютерах с Windows и используется для управления принтерами или серверами печати. Пока Microsoft не выпустит патч для решения этой проблемы нулевого дня, злоумышленник может удаленно выполнить код в хрупкой системе, чтобы повысить учетную запись пользователя с низким уровнем привилегий до учетной записи администратора с правами системного уровня. Это дало бы им полный доступ к супервизору домена, и оттуда они могли бы взять на себя управление всем доменом. Согласно новому сообщению в блоге компании по кибербезопасности Huntress, PrintNightmare представляет собой серьезную уязвимость безопасности, которая затрагивает бесчисленное количество серверов Windows. Было опубликовано несколько терминальных тестов на Python и C++, и исследователи компании подтвердили, что эту уязвимость легко использовать. Хотя отключение очереди печати защитит организации от угрозы нулевого дня PrintNightmare, это означает, что они не смогут печатать. Консультант по кибербезопасности TrueSec разработал другое решение, которое не требует отключения очереди печати, и в отдельном сообщении в блоге его исследователи объясняют, что ограничение контроля доступа (ACL) к каталогу, в котором эксплойт используется для удаления вредоносных DLL, может помочь организациям защитить себя. . любые потенциальные атаки с использованием PrintNightmare нулевого дня. Поскольку PrintNightmare представляет серьезную угрозу для организаций, использующих системы Windows, ожидайте, что Microsoft выпустит патч для решения этой проблемы в ближайшее время и может даже появиться до следующего вторника обновлений компании.