Патч от Microsoft для уязвимости PrintNightmare можно обойти

Чт 8 Июль 2021 06:41

Хотя компания Microsoft распространила действие своего патча для уязвимости PrintNightmare на Windows 10 (версия 1607), Windows Server 2012 и Windows Server 2016, оказалось, что его можно обойти и выполнить произвольный код на системе.

Во вторник, 6 июля, Microsoft выпустила внеплановое экстренное обновление безопасности для службы печати Windows Print Spooler. Уязвимость CVE-2021-34527 была случайно раскрыта гонконгской ИБ-компанией Sangfor в конце прошлого месяца, когда выяснилось, что проблема представляет собой отдельную уязвимость от CVE-2021-1675 , исправленной Microsoft 8 июня.

После выхода патча аналитик CERT/CC Уилл Дорманн (Will Dormann) предупредил , что он исправляет только вариант PrintNightmare, позволяющий удаленное выполнение кода (через SMB и RPC), но не вариант с повышениями привилегий, с помощью которого злоумышленники могут получить на уязвимом компьютере привилегии системы.

Как показало дальнейшее исследование, эксплоиты могут полностью обойти патч, локально повысить свои привилегии и удаленно выполнить код. Правда, для того чтобы это сделать, должна быть включена политика Windows «Ограничения на ввод и печать» (Параметры\Политики\Административные шаблоны\Принтеры: Ограничения на ввод и печать).

«Обратите внимание на то, что обновление Microsoft для CVE-2021-34527 не предотвращает эксплуатацию систем, где Point and Print NoWarningNoElevationOnInstall установлен на 1», - сообщил Дорманн.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 127 дней 14 часов 26 минут 53 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.