Удаленный сервер печати позволяет перехватить контроль на Windows-системой

Удаленный сервер печати позволяет перехватить контроль на Windows-системой

С правами администратора преступники могут запускать команды, добавлять пользователей или устанавливать любое ПО.

image

Исследователь в области кибербезопасности Бенджамин Делпи (Benjamin Delpy) разработал удаленный сервер печати, позволяющий любому пользователю Windows с ограниченными правами получить полный контроль над устройством путем простой установки драйвера печати.

В прошлом месяце исследователи безопасности случайно опубликовали PoC-эксплоит для уязвимости в сервисе печати Windows Print Spooler, получившей название PrintNightmare ( CVE-2021-34527 ). Microsoft выпустила исправление для проблемы, но исследователи безопасности сочли его недостаточно эффективным. В свою очередь, компания заявила, что патч работает как положено, а исследователи использовали параметры реестра, несоответствующие ее официальной документации.

С тех пор исследователи продолжали разрабатывать новые способы эксплуатации уязвимости. В прошлом месяце Делпи обнаружил новый способ использования стандартного процесса установки драйверов принтера для получения привилегий системы. Для этого атакующий должен создать вредоносный драйвер принтера и подписать его с помощью доверенного сертификата Authenticode, следуя официальной инструкции Microsoft. Подписанные вредоносные драйверы затем могут устанавливаться на любое подключенное к Сети устройство, где у них есть привилегии администратора.

В ходе своего нового исследования Делпи создал доступный в интернете сервер печати на \\printnightmare[.]Gentilkiwi[.]com, который устанавливает драйвер печати и запускает DLL-библиотеку с привилегиями SYSTEM. Изначально DLL-библиотека записывала файл журнала в папку C:\Windows\System32, которая должна быть доступна для записи только пользователям с повышенными привилегиями. Поскольку некоторые люди не верили, что в оригинальной версии драйвер печати может повышать привилегии, Делпи модифицировал драйвер для запуска командной строки SYSTEM.

Новый метод позволяет любому злоумышленнику получить административные привилегии путем простой установки удаленного драйвера печати. Получив права администратора на системе, преступники могут запускать любую команду, добавлять пользователей или устанавливать любое программное обеспечение, фактически имея полный контроль над устройством.

По словам Бенджамина Делпи, одной из движущих причин для создания данного драйвера является оказание давления на Microsoft и ускорения процесса исправления уязвимости.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.