Бесплатно Экспресс-аудит сайта:

20.07.2021

Эксперты сообщили о неисправленной уязвимости в Windows Print Spooler

Спустя несколько дней после того, как Microsoft выпустила предупреждение о новой уязвимости повышения привилегий в службе печати Windows Print Spooler, создатель инструмента Mimikatz Бенджамин Делпи (Benjamin Delpy) обнародовал некоторые подробности о еще одной возможной уязвимости в диспетчере.

По словам Делпи, данная уязвимость позволяет выполнить произвольный код с правами SYSTEM с помощью вредоносного сервера печати. Разработанный специалистом эксплоит использует функцию под названием Queue-Specific Files, обеспечивающую автоматическую загрузку и исполнение DLL-библиотек. Воспользовавшись данным функционалом, злоумышленник может загрузить вредоносную DLL при подключении клиента к подконтрольному атакующему серверу печати. Вредоносная DLL, поясняет Делпи, будет запускаться с привилегиями SYSTEM, предоставляя возможность выполнить любую команду на компьютере.

Как пояснил аналитик CERT/CC Уилл Дорманн (Will Dormann), Windows требует, чтобы пакеты драйверов были подписаны доверенным источником, однако драйверы могут указывать файлы, которые будут связаны с конкретной очередью печати.

«Например, общий принтер может указать папку CopyFiles для произвольных ICM файлов. Эти файлы копируются поверх драйверов печати с цифровой подписью и на них не распространяется требование о наличии цифровой подписи. Таким образом, любой файл может быть скопирован на клиентскую систему через процесс «Точка и Печать», где он может быть использован другим принтером с правами SYSTEM,» - отметил Дорманн.

Опасность уязвимости заключается в том, что она затрагивает все поддерживаемые версии Windows и позволяет атакующему с ограниченным доступом к системе повысить права и продвигаться по сети и в том числе получить доступ к контроллеру домена.

На данный момент, исправления для этой уязвимости не существует. В качестве меры предосторожности специалисты рекомендуют настроить PackagePointAndPrintServerList для предотвращения установки принтеров с произвольных серверов и блокировать входящий SMB трафик.

В настоящее время неясно, существует ли связь между вышеописанной уязвимостью и проблемой CVE-2021-34481, о которой на прошлой неделе сообщила Microsoft.