Новый виток в противостоянии злоумышленников и Microsoft.
Недавно опубликованное руководство по группе уязвимостей PrintNightmare вызвало дискуссии о том, как можно обойти ограничения Point and Print (PnP), предложенные в статье. Автор решил не просто обновить пост, а провести дополнительное исследование и найти более эффективные способы защиты от эксплуатации PnP.
Начальные условия заключались в следующем:
Однако, несмотря на такие настройки, выяснилось, что можно обойти защиту с помощью атаки DNS-спуфинга, подменив имя разрешённого сервера на атакующий.
Автор проверил метод в лабораторных условиях, подменив IP-адрес на адрес сервера злоумышленника, что привело к ошибке, связанной с неправильным именем принтера. Анализ с помощью Wireshark показал, что взаимодействие клиента с сервером происходит через зашифрованный канал DCE/RPC, защищённый от атак NTLM Relay.
Даже после установки политики UNC Path Hardening, которая ограничивает доступ к сетевым путям, удалось обойти защиту. В ответ на вызовы удалённых процедур через DCE/RPC сервер возвращал неверный сетевой путь, что позволяло обойти ограничения. Подмена пути с UNC на локальный позволила успешно установить уязвимый драйвер принтера.
В итоге автор пришёл к выводу, что используемые меры защиты, такие как UNC Hardened Access и использование SMB для подключения, недостаточны для предотвращения MitM-атак (Man-in-the-Middle). Также выяснилось, что политика исключения драйверов, основанная на хэшах файлов, неэффективна, так как атакующие могут легко изменить файл, не нарушая его подпись.
Ключевой вывод исследования: настройка политики «Restrict Driver Installation To Administrators» является единственным надёжным способом защиты от эксплуатации конфигураций Point and Print. В будущем возможно, что новый режим Windows Protected Print (WPP) сможет решить проблему, однако пока что системным администраторам рекомендуется не отключать новые ограничения для установки драйверов принтеров, чтобы обеспечить защиту.
Но доступ к знаниям открыт для всех