Патч от Microsoft для уязвимости PrintNightmare можно обойти

Патч от Microsoft для уязвимости PrintNightmare можно обойти

Выпущенное 6 июля обновление безопасности для Windows Print Spooler исправляет только один вариант уязвимости.  

Хотя компания Microsoft распространила действие своего патча для уязвимости PrintNightmare на Windows 10 (версия 1607), Windows Server 2012 и Windows Server 2016, оказалось, что его можно обойти и выполнить произвольный код на системе.

Во вторник, 6 июля, Microsoft выпустила внеплановое экстренное обновление безопасности для службы печати Windows Print Spooler. Уязвимость CVE-2021-34527 была случайно раскрыта гонконгской ИБ-компанией Sangfor в конце прошлого месяца, когда выяснилось, что проблема представляет собой отдельную уязвимость от CVE-2021-1675 , исправленной Microsoft 8 июня.

После выхода патча аналитик CERT/CC Уилл Дорманн (Will Dormann) предупредил , что он исправляет только вариант PrintNightmare, позволяющий удаленное выполнение кода (через SMB и RPC), но не вариант с повышениями привилегий, с помощью которого злоумышленники могут получить на уязвимом компьютере привилегии системы.

Как показало дальнейшее исследование, эксплоиты могут полностью обойти патч, локально повысить свои привилегии и удаленно выполнить код. Правда, для того чтобы это сделать, должна быть включена политика Windows «Ограничения на ввод и печать» (Параметры\Политики\Административные шаблоны\Принтеры: Ограничения на ввод и печать).

«Обратите внимание на то, что обновление Microsoft для CVE-2021-34527 не предотвращает эксплуатацию систем, где Point and Print NoWarningNoElevationOnInstall установлен на 1», - сообщил Дорманн.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!