Microsoft предупреждает об уязвимости PrintNightmare из-за ошибки в диспетчере очереди печати Windows

Microsoft и несколько других организаций предупреждают пользователей и операторов сущностей об уязвимости в Windows Print Spooler, которая может позволить злоумышленникам взломать компьютеры Windows и удаленно выполнить код. В своем сообщении в руководстве по обновлению безопасности компании Microsoft помечает уязвимость как CVE-2021-34527, отмечая, что ей известно об уязвимости и работает над исправлением.

Уязвимость, известная в кругах безопасности как PrintNightmare, воздействует на диспетчер очереди печати Windows — программу, которая выполняет печать на компьютерах Windows. Диспетчер очереди печати приобрел известность десять лет назад, когда его использовала до сих пор неназванная организация для уничтожения ядерных центрифуг, используемых Ираном для обработки ядерного топлива. В этом новом событии исследователи безопасности обнаружили уязвимость и невольно обнародовали ее до того, как Microsoft успела разослать патч. Они утверждали, что считали, что Microsoft уже устранила проблему.

Недостаток диспетчера очереди печати включает две уязвимости. Первый — это локальное повышение привилегий, что означает, что гнусный персонаж, имеющий доступ к взломанному компьютеру только с низкой степенью привилегий, может предоставить себе права администратора или системного уровня на машине. Второй допускает удаленное выполнение кода , который, очевидно, может быть использован злоумышленниками в качестве оружия — он обеспечивает как локальный доступ, так и горизонтальное перемещение в другие системы, такие как контроллер домена.

Уязвимость описывается как «нулевой день», поскольку она не дает операторам компьютеров возможности для обнаружения и, следовательно, времени для ответа. Путаница при обнародовании уязвимости компанией Sangfor, очевидно, произошла из-за предыдущего патча, выпущенного Microsoft для исправления связанной уязвимости в диспетчере очереди печати. Компания планировала задокументировать уязвимость на конференции Black Hat в этом году и, таким образом, обнародовала свои выводы для посетителей. В своем предупреждении Microsoft отметила, что пользователи в настоящее время подвергаются эксплуатации.

Неясно, когда Microsoft выпустит исправление, но они предлагают пользователям или, что более вероятно, ИТ-администраторам отключить диспетчер очереди печати до тех пор, пока исправление не будет выпущено. Пользователи или менеджеры также могут отключить удаленную печать с помощью параметра групповой политики.