Núdzová oprava spoločnosti Microsoft nedokáže úplne opraviť zraniteľnosť PrintNightmare RCE

Aj keď Microsoft rozšíril záplaty pre takzvanú zraniteľnosť PrintNightmare Windows 10 verzia 1607, Windows Server 2012 a Windows Server 2016, vyšlo najavo, že oprava vzdialeného spustenia kódu sa využíva v Windows Službu Print Spooler je možné v určitých scenároch obísť, čím efektívne porazíte bezpečnostné ochrany a umožníte útočníkom spustiť ľubovoľný kód na infikovaných systémoch.

V utorok, Windows výrobca vydal núdzovú aktualizáciu mimo pásma na adresu CVE-2021-34527 (skóre CVSS: 8.8) po tom, čo túto chybu náhodne odhalili výskumníci z hongkonskej spoločnosti Sangfor pre kybernetickú bezpečnosť koncom minulého mesiaca, kedy sa ukázalo, že problém sa líši od inej chyby – sledovanej ako CVE-2021-1675 – ktorú spoločnosť Microsoft opravila v júni. 8.

„Pred niekoľkými dňami boli v Microsofte nájdené dve bezpečnostné chyby Windows„existujúci tlačový mechanizmus,“ povedal pre The Hacker News Yaniv Balmas, vedúci kybernetického výskumu v Check Point. „Tieto zraniteľnosti umožňujú škodlivému útočníkovi získať plnú kontrolu nad windows prostredia, ktoré umožňujú tlač.”

“Sú to väčšinou pracovné stanice, ale niekedy sa to týka celých serverov, ktoré sú neoddeliteľnou súčasťou veľmi populárnych organizačných sietí. Microsoft klasifikoval tieto zraniteľnosti ako kritické, ale keď boli zverejnené, boli schopní opraviť iba jednu z nich, takže dvere sú otvorené pre skúmanie druhej zraniteľnosti,“ dodal Balmas.

PrintNightmare pochádza z chýb v Windows Služba Print Spooler, ktorá riadi proces tlače v rámci lokálnych sietí. Hlavným problémom tejto hrozby je, že používatelia, ktorí nie sú správcami, mali možnosť načítať svoje vlastné ovládače tlačiarne. Toto je teraz napravené.

“Po inštalácii tohto [update] a neskôr Windows aktualizácie môžu používatelia, ktorí nie sú správcami, inštalovať iba podpísané tlačové ovládače na tlačový server,” uviedol Microsoft s podrobným popisom vylepšení na zmiernenie rizík spojených s chybou. “Na inštaláciu nepodpísaných ovládačov tlačiarne na tlačový server budú potrebné poverenia správcu. napredovať.”

Po vydaní aktualizácie analytik zraniteľnosti CERT/CC Will Dormann upozornil, že oprava „sa zdá, že rieši iba varianty vzdialeného spustenia kódu (RCE cez SMB a RPC) PrintNightmare, a nie variant eskalácie miestnych privilégií (LPE). čo umožňuje útočníkom zneužiť ich na získanie SYSTEM privilégií na zraniteľných systémoch.

Teraz ďalšie testovanie aktualizácie odhalilo, že exploity zamerané na chybu by mohli úplne obísť nápravu a získať tak lokálnu eskaláciu privilégií, ako aj vzdialené spustenie kódu. Aby sa to však dosiahlo, a Windows musí byť povolená politika s názvom ‘Obmedzenia ukazovania a tlače’ (Konfigurácia počítačaZásadyŠablóny pre správuTlačiarne: Obmedzenia ukazovania a tlače), pomocou ktorej by sa potenciálne mohli nainštalovať škodlivé ovládače tlačiarní.

„Upozorňujeme, že aktualizácia od spoločnosti Microsoft pre CVE-2021-34527 účinne nezabráni zneužívaniu systémov, kde je položka Point and Print NoWarningNoElevationOnInstall nastavená na 1,” povedal v stredu Dormann. Microsoft vo svojom odporúčaní vysvetľuje, že “Point and Print nesúvisí priamo s touto zraniteľnosťou, ale táto technológia oslabuje miestne bezpečnostné postavenie takým spôsobom, že bude možné zneužitie.”

Hoci spoločnosť Microsoft odporučila jadrovú možnosť zastavenia a zakázania služby Print Spooler, alternatívnym riešením je povoliť bezpečnostné výzvy pre funkciu Point and Print a obmedziť privilégiá na inštaláciu ovládača tlačiarne iba na správcov konfiguráciou hodnoty databázy Registry „RestrictDriverInstallationToAdministrators“, aby sa zabránilo bežným používateľom. z inštalácie ovládačov tlačiarne na tlačový server.

AKTUALIZÁCIA: Microsoft v reakcii na správu CERT/CC vo štvrtok uviedol:

„Naše vyšetrovanie ukázalo, že OOB [out-of-band] bezpečnostná aktualizácia funguje tak, ako bola navrhnutá a je účinná proti známym zneužitiam spoolingu tlačiarní a iným verejným správam, ktoré sú spoločne označované ako PrintNightmare. Všetky hlásenia, ktoré sme skúmali, sa spoliehali na zmenu predvoleného nastavenia registra týkajúceho sa funkcie Point and Print na nezabezpečenú konfiguráciu.“