Привет, соскучились по обновлению винды? Это хорошо, потому как появился эксплойт для новой уязвимости CVE-2021-1675 7.8 баллов по шкале CVSS:3.1. В Интернете говорят что патч был в июне, но два часа назад вышла статья на гитхабе, где уязвимость волшебным образом применяется на полностью пропатченном контроллере домена Windows Server 2019. Кому верить?
Уязвимость получила название PrintNightmare и затрагивает службу печати Windows. Уязвимы все версии Windows начиная с XP. Изначально баг был классифицирован как уязвимость повышения привилегий LPE, но потом уровень опасности повысили до RCE, уязвимость удаленного выполнения кода.
?
Для быстрого избавления от проблемы можно отключить Spooler service:
Stop-Service Spooler
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v "Start " /t REG_DWORD /d "4" /f
Или удалить службу печати:
Uninstall-WindowsFeature Print-Services
Эксплойт выложили ИБ-специалисты из компании Sangfor, которые хотели использовать его в соревновании Tianfu Cup и на конференции по кибербезопасности Black Hat USA 2021, но слили в сеть, когда узнали, что в другой компании QiAnXin кунг-фу не слабее. Хотя ИБ-специалисты QiAnXin показали всего лишь gif картинку с процессом эксплуатации уязвимости, без явных подробностей.
Обновляемся, нельзя недооценивать уязвимости в spoolsv.exe. Десять лет назад ошибка LPE в Windows Printer Spooler была использована в черве Stuxnet, который вывел из строя 1000 центрифуг ядерного обогащения Ирана и заразил более 45000 сетей.
Ссылки
https://github.com/afwu/PrintNightmare
https://github.com/cube0x0/CVE-2021-1675
P.S. от 2 июля
Microsoft теперь обозначает PrintNightmare как CVE-2021-34527, что мы первоначально считали CVE-2021-1675. Угроза все еще реальна. В обновлениях от 8 июня было рассмотрено строго 1675, но 34527 / PrintNightmare все еще не исправлено.
P.P.S. от 8 июля
Microsoft оперативно признала наличие уязвимости и выпустила подборку обновлений:
- Windows 10 версий 21H1, 20H1, 2004 — KB5004945 (сборка 19043.1083).
- Windows 10 версии 1909 — KB5004946 (сборка 18363.1646).
- Windows 10 версии 1809 и Windows Server 2019 — KB5004947 (сборка 17763.2029).
- Windows 10 версии 1803 — KB5004949
- Windows 10 версии 1507 — KB5004950.
- Windows 8.1 и Windows Server 2012 — KB5004954 и KB5004958.
- Windows 7 SP1 и Windows Server 2008 R2 SP1 — KB5004953 и KB5004951.
- Windows Server 2008 SP2 — KB5004955 и KB5004959.
Ещё нет исправления для:
- Windows Server 2012
- Windows Server 2016
- Windows 10 версии 1607
Microsoft сообщает, что обновления безопасности для этих версий Windows будут выпущены в ближайшее время.
P.P.S. 2 от 8 июля
Обнаружилось, что эти исправления неполные, так как уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM. Достаём попкорн.
