JARIRIYAWAT / Shutterstock.com
Незважаючи на численні спроби Microsoft успішно виправити PrintNightmare, це все ще не закінчено. Тепер було виявлено ще одну вразливість Windows 10 PrintNightmare Print Spooler, яка приваблює зловмисників програм-вимагачів, які шукають легкий доступ до системних привілеїв.
У липні та серпні Microsoft випустила кілька виправлень, щоб усунути вразливість і налаштувати процес, за допомогою якого користувачі можуть встановлювати нові драйвери принтера. Однак дослідники все ж знайшли обхідний шлях для запуску атаки через нову вразливість Print Spooler, яка отримала назву CVE-2021-36958.
З публікації в Центрі відповідей безпеки Microsoft Microsoft описує вразливість: «Уразливість віддаленого виконання коду існує, коли служба Windows Print Spooler неправильно виконує привілейовані файли. Зловмисник, який успішно скористався цією вразливістю, міг запустити довільний код з привілеями SYSTEM. Після цього зловмисник може встановлювати програми; переглядати, змінювати або видаляти дані; або створювати нові облікові записи з повними правами користувача».
Microsoft також перелічує обхідний шлях для цієї вразливості як «зупинення та відключення служби диспетчера друку». Зловмиснику знадобляться права адміністратора для встановлення необхідних драйверів принтера; однак, якщо драйвер вже встановлено, такі привілеї не потрібні для підключення принтера. Крім того, драйвери на клієнтах встановлювати не потрібно, тому вразливість залишається вразливою в будь-яких випадках, коли користувач підключається до віддаленого принтера.
За словами Bleeping Computer, зловмисники програм-вимагачів, природно, користуються всіма перевагами експлойтів. CrowdStrike нещодавно повідомила, що Magniber, група програм-вимагачів, була виявлена під час спроби використати невиправлені вразливості проти південнокорейських жертв.
Поки що немає інформації — від Microsoft чи іншого місця — про те, чи є вразливість PrintNightmare взагалі. Фактично, за оцінками CrowdStrike, «вразливість PrintNightmare у поєднанні з розгортанням програм-вимагачів, ймовірно, продовжуватимуть використовуватися іншими загрозами».
через Windows Central