Перейти к основному содержанию
 

PrintNightmare — ночной кошмар Print Spooler

Information Seciurity

Привет, соскучились по обновлению винды? Это хорошо, потому как появился эксплойт для новой уязвимости CVE-2021-1675 7.8 баллов по шкале CVSS:3.1. В Интернете говорят что патч был в июне, но два часа назад вышла статья на гитхабе, где уязвимость волшебным образом применяется на полностью пропатченном контроллере домена Windows Server 2019. Кому верить?

Уязвимость получила название PrintNightmare и затрагивает службу печати Windows. Уязвимы все версии Windows начиная с XP. Изначально баг был классифицирован как уязвимость повышения привилегий LPE, но потом уровень опасности повысили до RCE, уязвимость удаленного выполнения кода.

😱

Для быстрого избавления от проблемы можно отключить Spooler service:

Stop-Service Spooler
REG ADD  "HKLM\SYSTEM\CurrentControlSet\Services\Spooler"  /v "Start " /t REG_DWORD /d "4" /f

Или удалить службу печати:

Uninstall-WindowsFeature Print-Services

Эксплойт выложили ИБ-специалисты из компании Sangfor, которые хотели использовать его в соревновании Tianfu Cup и на конференции по кибербезопасности Black Hat USA 2021, но слили в сеть, когда узнали, что в другой компании QiAnXin кунг-фу не слабее. Хотя ИБ-специалисты QiAnXin показали всего лишь gif картинку с процессом эксплуатации уязвимости, без явных подробностей.

Обновляемся, нельзя недооценивать уязвимости в spoolsv.exe. Десять лет назад ошибка LPE в Windows Printer Spooler была использована в черве Stuxnet, который вывел из строя 1000 центрифуг ядерного обогащения Ирана и заразил более 45000 сетей.

Ссылки

https://github.com/afwu/PrintNightmare

https://github.com/cube0x0/CVE-2021-1675

P.S. от 2 июля

Microsoft теперь обозначает PrintNightmare как CVE-2021-34527, что мы первоначально считали CVE-2021-1675. Угроза все еще реальна. В обновлениях от 8 июня было рассмотрено строго 1675, но 34527 / PrintNightmare все еще не исправлено.

P.P.S. от 8 июля

Microsoft оперативно признала наличие уязвимости и выпустила подборку обновлений:

  • Windows 10 версий 21H1, 20H1, 2004 — KB5004945 (сборка 19043.1083).
  • Windows 10 версии 1909 — KB5004946 (сборка 18363.1646).
  • Windows 10 версии 1809 и Windows Server 2019 — KB5004947 (сборка 17763.2029).
  • Windows 10 версии 1803 — KB5004949
  • Windows 10 версии 1507 — KB5004950.
  • Windows 8.1 и Windows Server 2012 — KB5004954 и KB5004958.
  • Windows 7 SP1 и Windows Server 2008 R2 SP1 — KB5004953 и KB5004951.
  • Windows Server 2008 SP2 — KB5004955 и KB5004959.

Ещё нет исправления для:

  • Windows Server 2012
  • Windows Server 2016
  • Windows 10 версии 1607

Microsoft сообщает, что обновления безопасности для этих версий Windows будут выпущены в ближайшее время.

P.P.S. 2 от 8 июля

Обнаружилось, что эти исправления неполные, так как уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM. Достаём попкорн.

Теги