Výskumníci unikli PoC Exploit for a Critical Windows Zraniteľnosť RCE

Zneužitie proof-of-concept (PoC) súvisiace s ovplyvnením zraniteľnosti spustenia vzdialeného kódu Windows Print Spooler a opravený spoločnosťou Microsoft začiatkom tohto mesiaca bol krátko zverejnený online pred stiahnutím.

Problém so zabezpečením identifikovaný ako CVE-2021-1675 by mohol poskytnúť vzdialeným útočníkom úplnú kontrolu nad zraniteľnými systémami. Print Spooler riadi proces tlače v Windowsvrátane načítania príslušných ovládačov tlačiarne a plánovania tlačovej úlohy, okrem iného.

Chyby Print Spooler sú znepokojujúce, v neposlednom rade kvôli širokému povrchu útoku, ale aj kvôli tomu, že beží na najvyššej úrovni práv a je schopný dynamicky načítať binárne súbory tretích strán.

The Windows maker riešil túto chybu zabezpečenia v rámci aktualizácie Patch Tuesday v júni 8, 2021. Ale takmer o dva týždne neskôr spoločnosť Microsoft revidovala vplyv chyby zo zvýšenia privilégií na vzdialené spustenie kódu (RCE), ako aj inovovala úroveň závažnosti z Dôležité na Kritické.

„Buď útočník zneužije túto zraniteľnosť tak, že pristúpi k cieľovému systému lokálne (napr. klávesnica, konzola) alebo vzdialene (napr. SSH), alebo sa útočník spolieha na interakciu používateľa inej osoby, aby vykonal akcie potrebné na zneužitie zraniteľnosti (napr. oklamanie legitímneho používateľa, aby otvoril škodlivý dokument),“ uviedol Microsoft vo svojom odporúčaní.

Veci nabrali obrat, keď čínska bezpečnostná firma QiAnXin začiatkom tohto týždňa odhalila, že je schopná nájsť „správne prístupy“ na využitie chyby, čím demonštruje úspešné využitie na dosiahnutie RCE.

Hoci sa výskumníci zdržali zdieľania ďalších technických špecifikácií, spoločnosť Sangfor zaoberajúca sa kybernetickou bezpečnosťou so sídlom v Hongkongu zverejnila nezávislý podrobný prehľad o rovnakej zraniteľnosti na GitHub spolu s plne funkčným kódom PoC, kde zostal verejne prístupný predtým, ako bol stiahnutý do režimu offline. o pár hodín neskôr.

Sangfor nazval chybu zabezpečenia „PrintNightmare“.

“Odstránili sme PoC PrintNightmare. Ak chcete zmierniť túto zraniteľnosť, aktualizujte ju Windows na najnovšiu verziu alebo deaktivujte službu Spooler,” napísal na Twitteri hlavný bezpečnostný výskumník Sangfor Zhiniang Peng. Očakáva sa, že zistenia budú prezentované na konferencii Black Hat v USA budúci mesiac.

Windows Print Spooler je už dlho zdrojom bezpečnostných nedostatkov, pričom Microsoft len ​​za posledný rok opravil najmenej tri problémy – CVE-2020-1048, CVE-2020-1300 a CVE-2020-1337. Chyba v službe bola tiež zneužitá na získanie vzdialeného prístupu a šírenie červa Stuxnet v roku 2010 zameraného na iránske jadrové zariadenia.

Aktualizovať Teraz existujú náznaky, že spoločnosť Microsoft vydala opravu kritickej zraniteľnosti spustenia vzdialeného kódu v Windows Služba zaraďovania tlače v júni podľa Koordinačného centra CERT úplne neodstráni hlavnú príčinu chyby, čo zvyšuje možnosť, že ide o chybu nultého dňa, ktorá potrebuje opravu.

„Aj keď spoločnosť Microsoft vydala aktualizáciu pre CVE-2021-1675, je dôležité si uvedomiť, že táto aktualizácia nerieši verejné zneužitia, ktoré sa tiež identifikujú ako CVE-2021-1675,“ uviedol Will Dormann z CERT/CC v zverejnenej poznámke o zraniteľnosti. streda.

Stojí za zmienku, že úspešné využitie CVE-2021-1675 by mohlo otvoriť dvere úplnému prevzatiu systému vzdialenými protivníkmi. Oslovili sme spoločnosť Microsoft so žiadosťou o komentár a keď sa ozveme, príbeh aktualizujeme.

Vo svetle najnovších informácií Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť (CISA) odporúča, aby správcovia „zakázali Windows Služba zaraďovania tlače v radičoch domény a systémoch, ktoré netlačia.”