PrintNightmare – опасная уязвимость службы спула Windows

PrintNightmare – опасная уязвимость службы спула Windows
50dc27b911542ca815739807cabc1df4.jpeg

Опасные уязвимости в редких случаях устраняются разработчиком частично. Особенно, если речь идет о таком известном ИТ-гиганте, как Microsoft.
В начале текущего года эксперты из компаний Tencent Security Xuanwu Lab, AFINE и NSFOCUS Security Labs сообщили Microsoft о проблеме со службой диспетчера очереди печати, отвечающей за обработку заданий печати – Windows Print Spooler (процесс spoolsv.exe). Служба получила клеймо одного из самых проблемных с точки зрения безопасности процессов популярной ОС. Уязвимость, названная PrintNightmare, затрагивает все версии ОС Windows.
Поначалу проблема классифицировалась как уязвимость повышения привилегий, однако позже, 21 июня, появилось обновленное описание CVE, где ее уже определили как уязвимость удаленного выполнения кода. Уязвимости был присвоен идентификатор CVE-2021-1675 и предполагалось, что обновление безопасности от 8 июня устраняет проблему.
С конца июня в общем доступе стали появляться аналитические материалы, технические подробности уязвимости и даже полноценная рабочая версия PoC от исследователей из компании Sangfor, которая, хоть и была вскоре удалена авторами из публикации на GitHub, оставалась общедоступной достаточно долго, чтобы успеть ее клонировать. Некоторые источники стали утверждать, что исправление не устраняет RCE-аспект ошибки: исследователи Rapid7 подтвердили , что общедоступные эксплойты работают против полностью пропатченных установок Windows Server 2019.
В четверг, 1 июля, Microsoft опубликовала описание нового CVE-2021-34527 , который присвоила непосредственно уязвимости PrintNightmare. На странице же описания CVE-2021-1675 в разделе FAQ отмечено, что уязвимость похожа на CVE-2021-34527, но отличается от нее: обе уязвимости затрагивают недостатки в функции RpcAddPrinterDriverEx(), которая устанавливает драйвер принтера на сервер печати, но задействуются в разных векторах атаки. Также отмечено, что CVE-2021-1675 устранена в рамках июньского обновления. Поэтому теперь отслеживание неисправленной возможности RCE в Windows Print Spooler будет происходить в рамках нового CVE-ID.
Тревожной новостью стало и то, что Microsoft подтверждает эксплуатацию уязвимости PrintNightmare в реальных атаках. Корпорация предлагает два варианта временных мер для исключения возможности эксплуатации уязвимости: отключить службу диспетчера очереди печати на всех устройствах или отключить входящую удаленную печать через групповую политику. Первый вариант исключает возможность печати как локально, так и удаленно, второй – блокирует вектор удаленной атаки, при этом локальная печать на напрямую подключенное устройство по-прежнему остается возможной.
«Если брать во внимание рекомендации Microsoft, то прогнозы в текущей ситуации довольно печальные. Скорейший выпуск патча важен не только для обеспечения ИБ, но и для бесперебойного функционирования обычного рабочего сектора, ведь сетевая печать – это рядовой процесс в любой компании как минимум для бухгалтерии и HR. Однако, несмотря на риски, не все организации готовы выполнить инструкции корпорации по отключению сервиса удаленной печати, что в свою очередь может спровоцировать рост числа кибератак», – предостерегает руководитель центра мониторинга Angara Professional Assistance Максим Павлунин.
Чтобы иметь возможность вовремя обнаруживать и пресекать аномальную активность в системе, особенно проявляемую со стороны легитимных приложений и их процессов, требуется тщательный анализ результатов логирования в системе, в том числе журналов операционной системы и событий, инициализуемых средствами защиты. Эту задачу можно возложить на опытных экспертов команды SOC Центра киберустойчивости Angara Cyber Resilience Center(ACRC), которые смогут в случае необходимости оперативно оповестить заказчика о подозрении на инцидент ИБ, если оно имеет место. SOC ACRC работает на Платформе собственной разработки «АЦРЦ Платформ», имеющей регистрацию в реестре российского ПО. Услуги SOC ACRC могут предоставляться на трех уровнях в зависимости от потребностей клиента.
С более подробным описанием Центра киберустойчивости ACRC и уровней услуг SOC можно ознакомиться на нашем сайте в разделе « Центр мониторинга киберустойчивости информационной безопасности ACRC ». Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Кибервзлом может привести к настоящей войне, ИБ-службы должны больше думать об угрозах жизням людей, не все руководители понимают опасность шпионов-инсайдеров в нашем 25 выпуске Youtube новостей.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group