Microsoft предупредила о попытках эксплуатации критической уязвимости PrintNightmare

Компания Microsoft официально подтвердила , что нашумевшая уязвимость удаленного выполнения кода, известная как PrintNightmare, в службе диспетчера очереди печати Windows, и уязвимость CVE-2021-1675 , которую техногигант исправил в прошлом месяце, – это две разные проблемы. Компания также выявила попытки эксплуатации PrintNightmare в реальных атаках.

О проблеме PrintNightmare, которой теперь присвоен идентификатор CVE-2021-34527 , стало известно после того, как китайская ИБ-компания Sangfor Technologies опубликовала на GitHub технический анализ и PoC-код для эксплуатации уязвимости в службе Windows Print Spooler, посчитав, что она уже устранена. Как оказалось, эксперты опубликовали эксплоит не для CVE-2021-1675, исправленной Microsoft в июне, а для другой, ранее неизвестной, уязвимости в Print Spooler, которую они нашли самостоятельно. Осознав ошибку, исследователи удалили публикацию, но к тому времени PoC-код уже был скопирован и опубликован в других источниках.

Как указывается в описании CVE-2021-34527, уязвимость удаленного выполнения кода связана с некорректной обработкой привилегированных файлов и может использоваться для выполнения кода с привилегиями SYSTEM.

Microsoft не сообщила, когда будет выпущен патч для данной уязвимости, но в качестве превентивной меры порекомендовала отключить Print Spooler или отключить удаленную внутреннюю печать через групповые политики.