Компанія Microsoft підтвердила ще одну уразливість у службі Windows Print Spooler. Новій уразливості присвоєно ідентифікатор CVE-2021-36958, і ось як компанія описує її:
«Уразливість віддаленого виконання коду існує, коли служба Windows Print Spooler неправильно виконує привілейовані файлові операції. Зловмисник, що успішно скористався цією уразливістю, може запустити довільний код з правами SYSTEM. Потім зловмисник може встановлювати програми; переглядати, змінювати або видаляти дані; або створювати нові облікові записи з повними правами користувача».
Нова проблема пов’язана з помилкою PrintNightmare, для якої компанія випустила виправлення. Microsoft заявила, що патч повинен допомогти в значною мірою пом’якшити проблему. І тепер, завдяки йому, вимагатимуться права адміністратора для встановлення та оновлення драйверів Point and Print. Однак в системах, в яких вже встановлено драйвер принтера, користувачі без прав адміністратора, які, можливо, є зловмисниками, можуть як і раніше використовувати уразливість.
До речі, Microsoft вже подякувала Віктору Мата (Victor Mata) з FusionX (Accenture Security), який повідомив про цю помилку ще в грудні 2020 року.
Hey guys, I reported the vulnerability in Dec'20 but haven't disclosed details at MSRC's request. It looks like they acknowledged it today due to the recent events with print spooler.
— Victor Mata (@offenseindepth) August 11, 2021
Цікаво відзначити, що вразливість була позначена як Remote Code Execution (RCE), але Вілл Дорман (Will Dormann) з CERT повідомив Bleeping Computer, що це локальне підвищення привілеїв. Фактично, в документації щодо уразливості Microsoft сама описує вектор атаки локальним.
Компанія заявила, що працює над виправленням, і попросила відключити службу Print Spooler як тимчасовий обхідний шлях. Однак дослідник безпеки Бенджамін Дельпі (Benjamin Delpy) каже, що у нього є кращий спосіб для цього.
https://twitter.com/gentilkiwi/status/1416429891592011781?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1416429891592011781%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fmsreview.net%2Fwindows-10%2F4481-microsoft-podtverdila-novuju-ujazvimost-v-sluzhbe-windows-print-spooler.html
За словами Дельпі, користувачам варто обмежувати функції друку тільки затвердженими серверами, використовуючи опцію «Package Point and Print – Approved servers» у Windows Group Policy. За даними Microsoft «цей параметр політики обмежує підключення Package Point and Print для затверджених серверів. Він застосовується тільки до підключень Package Point and Print і не залежить від політики Point and Print Restrictions, яка регулює поведінку підключень Point and Print, не пов’язаних з пакетами».
Щоб додати схвалені сервери в цю політику, перейдіть в редактор групової політики (або запустіть службу gpedit.msc). Потім перейдіть в Конфігурацію користувача => Адміністративні шаблони => Панель управління => Принтери => Package Point and Print – Approved Servers (=> Змінити). Важливо відзначити, що цей спосіб не є частиною офіційного пом’якшення, яке виділила Microsoft. Тому реалізовувати це можна на свій страх і ризик.