Эксперты сообщили о неисправленной уязвимости в Windows Print Spooler

Пн 19 Июль 2021 12:12

Спустя несколько дней после того, как Microsoft выпустила предупреждение о новой уязвимости повышения привилегий в службе печати Windows Print Spooler, создатель инструмента Mimikatz Бенджамин Делпи (Benjamin Delpy) обнародовал некоторые подробности о еще одной возможной уязвимости в диспетчере.

По словам Делпи, данная уязвимость позволяет выполнить произвольный код с правами SYSTEM с помощью вредоносного сервера печати. Разработанный специалистом эксплоит использует функцию под названием Queue-Specific Files, обеспечивающую автоматическую загрузку и исполнение DLL-библиотек. Воспользовавшись данным функционалом, злоумышленник может загрузить вредоносную DLL при подключении клиента к подконтрольному атакующему серверу печати. Вредоносная DLL, поясняет Делпи, будет запускаться с привилегиями SYSTEM, предоставляя возможность выполнить любую команду на компьютере.

Как пояснил аналитик CERT/CC Уилл Дорманн (Will Dormann), Windows требует, чтобы пакеты драйверов были подписаны доверенным источником, однако драйверы могут указывать файлы, которые будут связаны с конкретной очередью печати.

«Например, общий принтер может указать папку CopyFiles для произвольных ICM файлов. Эти файлы копируются поверх драйверов печати с цифровой подписью и на них не распространяется требование о наличии цифровой подписи. Таким образом, любой файл может быть скопирован на клиентскую систему через процесс «Точка и Печать», где он может быть использован другим принтером с правами SYSTEM,» - отметил Дорманн.

Опасность уязвимости заключается в том, что она затрагивает все поддерживаемые версии Windows и позволяет атакующему с ограниченным доступом к системе повысить права и продвигаться по сети и в том числе получить доступ к контроллеру домена.

На данный момент, исправления для этой уязвимости не существует. В качестве меры предосторожности специалисты рекомендуют настроить PackagePointAndPrintServerList для предотвращения установки принтеров с произвольных серверов и блокировать входящий SMB трафик.

В настоящее время неясно, существует ли связь между вышеописанной уязвимостью и проблемой CVE-2021-34481, о которой на прошлой неделе сообщила Microsoft.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 23 часа 54 минуты 5 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.