PrintNightmare elab tänu lunavara ründajatele edasi

JARIRIYAWAT / Shutterstock.com

Vaatamata Microsofti arvukatele katsetele PrintNightmare’i edukalt parandada, pole see ikka veel lõppenud. Nüüd on paljastatud veel üks Windows 10 PrintNightmare Print Spooleri haavatavus ja see meelitab ligi lunavararündajaid, kes otsivad lihtsat juurdepääsu süsteemiõigustele.

Microsoft andis juulis ja augustis välja mitu plaastrit haavatavuse kõrvaldamiseks ja kohandas protsessi, mille abil kasutajad saavad uusi printeridraiveriid installida. Teadlased leidsid siiski lahenduse rünnaku käivitamiseks uuema prindispuuleri haavatavuse kaudu, mille nimi on CVE-2021-36958.

Microsoft kirjeldab Microsofti turvareageerimiskeskuse postituses haavatavust järgmiselt: „Kui Windowsi prindispuuleri teenus sooritab privilegeeritud failitoiminguid valesti, tekib koodi kaugkäitamise haavatavus . Seda haavatavust edukalt ära kasutanud ründaja võib käivitada suvalise koodi SÜSTEEMI õigustega. Ründaja võib seejärel programme installida; andmete vaatamine, muutmine või kustutamine; või looge uusi kontosid täielike kasutajaõigustega."

Microsoft loetleb haavatavuse lahendamiseks ka "Prindispuuleri teenuse peatamise ja keelamise". Ründaja vajab vajalike printeridraiverite installimiseks administraatoriõigusi; kui draiver on juba installitud, pole sellised õigused printeri ühendamiseks vajalikud. Lisaks ei nõuta klientide draiverite installimist, seega jääb haavatavus haavatavaks igal juhul, kui kasutaja loob ühenduse kaugprinteriga.

Lunavararündajad kasutavad Bleeping Computeri andmetel loomulikult ärakasutamist täielikult. CrowdStrike teatas hiljuti lunavararühma Magniberi avastamise katsest Lõuna-Korea ohvrite vastu paigatamata turvaauke ära kasutada.

Pole veel ühtegi sõna – Microsoftilt ega mujalt – selle kohta, kas PrintNightmare’i haavatavus on üldse käes. Tegelikult hindab CrowdStrike, "et PrintNightmare’i haavatavust koos lunavara juurutamisega kasutavad tõenäoliselt ka edaspidi teised ohus osalejad."

Windows Centrali kaudu