Эксперты случайно опубликовали PoC-код для экслуатации RCE-уязвимости в Windows

Исследователи в области кибербезопасности из компании Sangfor непреднамеренно опубликовали технические подробности и PoC-код для эксплуатации уязвимости удаленного выполнения кода в службе диспетчера очереди печати Windows. Ее эксплуатация позволяет злоумышленнику полностью скомпрометировать систему под управлением Windows.

Уязвимость ( CVE-2021-1675 ), получившая название PrintNightmare, была исправлена ​​в начале июня нынешнего года и затрагивает диспетчер очереди печати (spoolsv.exe) — службу Windows, выполняющую роль универсального интерфейса между ОС Windows, приложениями и локальными или сетевыми принтерами.

Данная служба является одним из самых проблемных процессов операционной системы, многие уязвимости были обнаружены в ней на протяжении многих лет, включая PrintDemon , FaxHell, Evil Printer, CVE-2020-1337 и даже уязвимости нулевого дня .

Изначально проблема была классифицирована как уязвимость повышения привилегий, позволяющая злоумышленникам получить права администратора, но Microsoft обновила описание и классифицировала CVE-2021-1675 как уязвимость удаленного выполнения кода.

О проблеме не было представлено никаких технических подробностей или PoC-кода для эксплуатации уязвимости. На прошлой неделе китайская ИБ-фирма QiAnXin опубликовала GIF-файл, в котором впервые показана эксплуатация проблемы без каких-либо технических подробностей. Затем на GitHub был опубликован полностью рабочий PoC-эксплойт. Как оказалось, ИБ-специалисты из компании Sangfor обнаружили проблему независимо от команды, которая сообщила об уязвимости Microsoft. Исследователи надеялись сохранить в секрете технические подробности до начала хакерского соревнования Tianfu Cup. Как пояснили эксперты, поскольку QiAnXin опубликовала видео об эксплойте CVE-2021-1675, они решили опубликовать полное описание проблемы и PoC-код.

Тем не менее, через несколько часов команда исследователей решила удалить публикацию, осознав, что раскрыли полный доклад, который планировали представить на конференции по кибербезопасности Black Hat USA 2021. Репозиторий удалили с GitHub, но к тому времени информация об уязвимости уже была скопирована другими пользователями. В настоящее время PoC-код для эксплуатации уязвимости распространяется в закрытых информационных сообществах и, предположительно, в ближайшие дни снова окажется в общем доступе.

Поскольку проблема CVE-2021-1675 классифицирована Microsoft как RCE-уязвимость, а PoC-код для ее эксплуатации появился в открытом доступе, компаниям рекомендуется как можно скорее применить исправления.

Уязвимость затрагивает все версии ОС Windows, в том числе Windows XP и Windows Vista.