Учитывая количество эксплойтов, возникающих вокруг Windows 10, неудивительно, что Microsoft выпустит обновление для Windows 11 позднее в этом году. Недавние эксплойты были связаны с печатью. Microsoft теперь рекомендует пользователям отключить диспетчер очереди печати Windows после того, как был обнаружен третий эксплойт за пять недель.
Обнаружение последней уязвимости, связанной с печатью
Джейкоб Барнс, исследователь уязвимостей компании Dragos, занимающейся безопасностью, обнаружил последний эксплойт, связанный с печатью. Этот недостаток касается уязвимости сервера печати Windows.
В кратком изложении доклада, который Барнс проведет об уязвимостях драйверов печати, объясняется: «Что вы, будучи злоумышленником, можете сделать, если обнаружите, что являетесь пользователем Windows с низкими привилегиями и не имеете пути к СИСТЕМЕ? Установите уязвимый драйвер печати! В этом докладе вы узнаете, как добавить уязвимые драйверы печати в полностью исправленную систему. Затем на трех примерах вы узнаете, как использовать уязвимые драйверы для перехода к СИСТЕМЕ».
Он также заявил, как он оценивает серьезность эксплойта. «У него действительно рейтинг CVSSv3 7,8 (или высокий), но, в конце концов, это всего лишь локальное повышение привилегий», — сказал Барнс. «На мой взгляд, сама уязвимость имеет некоторые интересные свойства, которые делают ее достойной разговора, но в Windows постоянно обнаруживаются новые локальные проблемы повышения привилегий».
Рекомендация Microsoft отключить диспетчер очереди печати
Microsoft выпустила исправление для аналогичной уязвимости, носившей страшное название PringNightmare, но исправить ее не удалось. Этот эксплойт позволил злоумышленникам запустить вредоносный код на компьютерах, получивших неудачное исправление Microsoft.
В конце прошлой недели Microsoft уведомила пользователей в блоге об эксплойте, атакующем диспетчер очереди печати Windows. Он имеет маркировку CVE-2021-34481 и позволяет хакерам, имеющим возможность запускать вредоносный код, чтобы расширить свой доступ. Это позволяет вредоносному ПО запускаться при каждой перезагрузке. Это эксплойт, который Барнс обнаружил еще в июне.
В электронном письме он объяснил, что ему непонятно, почему компания до сих пор откладывала рекомендацию по этому вопросу. «Меня эта рекомендация удивила, потому что она была очень резкой и не имела отношения к сроку, который я им дал (7 августа), и не была выпущена с патчем», — написал он.
Одна из этих двух вещей (публичное раскрытие информации исследователями или доступность исправления) обычно требует публичного уведомления. Я не уверен, что побудило их выпустить рекомендацию без патча. Обычно это противоречит цели программы раскрытия информации. Но со своей стороны я не раскрывал публично подробности уязвимости и не буду раскрывать их до 7 августа. Возможно, они видели подробности, опубликованные где-то еще, а я нет».
В своем раскрытии Microsoft написала: «Уязвимость, позволяющая повысить привилегии, существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные операции с файлами». Далее поясняется: «Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с системными привилегиями. Злоумышленник может затем установить программы; просматривать, изменять или удалять данные; или создайте новые учетные записи с полными правами пользователя».
В сообщении блога отмечается, что злоумышленнику сначала необходимо иметь возможность выполнить код в конкретной системе, чтобы использовать эксплойт. Он также рекомендует пользователям установить все предыдущие обновления.
Майкрософт также рекомендует обходной путь для отключения сервера печати Windows. Пользователям следует сначала определить, запущен ли диспетчер очереди печати, а затем отключить его, если он работает. Примечательно, что если пользователи отключают диспетчер очереди печати, как советует Microsoft, это не позволяет им печатать локально или удаленно, поэтому это ни в коем случае не является лучшим решением.
Новый патч для этого эксплойта находится в разработке в Microsoft, но на данный момент единственное известное исправление — отключение сервера печати.
Читайте дальше, чтобы узнать о других известных проблемах с обновлениями Windows и способах их устранения, а также о 10 причинах перейти на Windows 11, когда она станет доступна.
