print nightmare что это
Security Week 28: уязвимости PrintNightmare в деталях
Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows.
В разборе «Лаборатории» упомянуты две уязвимости в системе печати: CVE-2021-1675 и CVE-2021-34527. Они используют похожий механизм эксплуатации, но если первую уязвимость можно использовать только локально, то вторую — еще и удаленно. Ошибка в коде приводит к недостаточной валидации ввода в ходе добавления нового принтера. В результате появляется возможность загрузить в систему вредоносный DLL-файл. Повторная попытка «добавить принтер» позволяет обратиться к этому файлу, который запустится с системными привилегиями.
Система Print Spooler работает в Windows (в том числе в серверных версиях) по умолчанию. Наибольшую опасность представляет атака именно на серверы, так что Microsoft выпустила рекомендации по отключению системы печати на контроллерах домена.
После выпуска патча появились сообщения, что он не закрывает уязвимость целиком, но, по данным Microsoft, речь идет о настройках в реестре системы, которые делают ее уязвимой по определению. Еще одну дыру в системе печати обнаружили в прошлом году, и тогда исследователи намекали на причину многочисленных проблем в этой службе: древний код, работающий еще с конца 90-х.
Что еще произошло
Еще один краткий отчет экспертов «Лаборатории Касперского» посвящен атаке шифровальщика REvil, нацеленной на поставщиков услуг удаленного администрирования и их клиентов. По данным исследователей, к 5 июля, через 4 дня после начала атаки, было зафиксировано более 5000 попыток взлома.
Команда GitHub Security провела аудит открытого ПО Fail2Ban, используемого для ограничения брутфорс-атак на серверы SSH. И не нашла каких-либо серьезных уязвимостей.
Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.
Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.
PrintNightmare — уязвимость в диспетчере очереди печати
Срочно установите обновления Windows, закрывающие уязвимости CVE-2021-1675 и CVE-2021-34527 в сервисе Windows Print Spooler.
В конце июня исследователи по безопасности начали активно обсуждать уязвимость в диспетчере очереди печати Windows (Print Spooler), получившую название PrintNightmare. Изначально предполагалось, что июньский патч от Microsoft, вышедший в очередной вторник патчей, избавляет от этой проблемы. Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой. При этом потенциально злоумышленники могут использовать их для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах. Microsoft официально относит название PrintNightmare только ко второй уязвимости, но во многих источниках обе проходят под одним кодовым именем.
Впрочем, есть и хорошие новости: наши эксперты внимательно изучили уязвимости и убедились, что теперь защитные продукты «Лаборатории Касперского» успешно выявляют попытки эксплуатации этих уязвимостей и защищают от них — в частности, благодаря технологиям предотвращения эксплуатации уязвимостей и защиты на основе анализа поведения.
Почему уязвимость PrintNightmare особенно опасна
Тут играют роль два фактора. Во-первых, как уже отмечено выше, сервис Windows Print Spooler по умолчанию включен на всех Windows-системах. В том числе, например, на контроллерах доменов и на машинах с правами администраторов системы.
Во-вторых, из-за недопонимания между несколькими командами исследователей и, похоже, в целом по случайности в сети были опубликованы материалы, демонстрирующие возможность эксплуатации PrintNightmare (proof of concept). Исследователи были уверены, что проблема уже решена июньским патчем, — и поспешили поделиться своим исследованием с сообществом экспертов. Но выяснилось, что, несмотря на обновление, эксплойт все еще представляет опасность, поскольку уязвимостей оказалось не одна, а две. PoC незамедлительно удалили, но многие успели с ними ознакомиться. Вероятно, среди этих многих были и злоумышленники. Так что эксперты «Лаборатории Касперского» предвидят рост попыток эксплуатации PrintNightmare.
Что за уязвимости и чем чревата их эксплуатация
CVE-2021-1675 относится к классу уязвимостей эскалации привилегий. Благодаря ей атакующий с правами обычного пользователя может применить специально созданный вредоносный DLL-файл, чтобы запустить эксплойт. Но для эксплуатации ему уже необходимо находиться на уязвимой машине. Microsoft расценивает вероятность ее эксплуатации как достаточно низкую. CVE-2021-34527 гораздо опаснее: это уязвимость удаленного исполнения кода (RCE). Принцип тот же, но благодаря ей злоумышленники могут подсунуть вредоносную библиотеку удаленно. По данным Microsoft, злоумышленники уже эксплуатируют эту уязвимость. Более подробное техническое описание эксплуатации обеих уязвимостей доступно в нашем блоге Securelist.
Злоумышленники могут использовать PrintNightmare для доступа к данным, хранящимся в корпоративной инфраструктуре, и, как следствие, для атак при помощи шифровальщиков-вымогателей.
Как обезопасить свою инфраструктуру от PrintNightmare
Для начала необходимо срочно поставить патчи от Microsoft: июньский, закрывающий уязвимость CVE-2021-1675, и, самое главное, июльский, который позволяет обезопасить систему от CVE-2021-34527. Если по каким-то причинам вы не можете установить эти патчи, Microsoft предлагает два варианта обходных маневров (доступны по той же ссылке, что и патч), один из которых даже не требует отключения диспетчера очереди печати.
Тем не менее стоит подумать о том, чтобы в принципе отключить сервис диспетчера очереди печати на машинах, которым он наверняка не нужен. В частности, серверам, на которых работают контроллеры доменов, — сомнительно, что кому-то нужно печатать с них что-либо.
Кроме того, все серверы и компьютеры в корпоративной инфраструктуре должны быть снабжены защитными решениями, способными выявлять попытки эксплуатации как известных, так и до сих пор не обнаруженных уязвимостей, в том числе и PrintNightmare.
Закрываем уязвимость диспетчера очереди печати Windows (PrintNightmare)
Обновлено: 07.07.2021. Microsoft выпустила обновление KB5004945 для Windows 10, версия 21H1, 20H2 и 2004 для устранение уязвимости PrintNightmare.
Microsoft недавно расскрыла информацию о новой уязвимости удаленного выполнения кода в Windows, которая использует диспетчер очереди печати Windows. Уязвимость активно эксплуатируется, и поэтому компания опубликовала сразу два предварительных решения для защиты систем от атак, использующих данную уязвимость.
Известно, что уязвимость CVE-2021-34527 (PrintNightmare) затрагивает как серверные операционные системы, такие как Windows Server 2008, 2012, в том числе Windows Server 2016, так и десктопные версии Windows 7 SP1, Windows 8.1, Windows 10 1809 и выше, в том числе Windows 10 21H1.
Компания Acros Security, разработчик 0patch Agent для Windows, проанализировав уязвимость, предположила, что проблема затрагивает преимущественно серверные версии Windows Server. Однако, уязвимость может также затрагивать и десктопные версии Windows 10 и серверные версии Windows Server без DC (контроллер доменов), при условии внесения следующих изменений в конфигурацию по умолчанию:
Описание уязвимости CVE-2021-34527 (PrintNightmare):
Уязвимость удаленного выполнения кода эксплуатируется в случаях, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.
Атака вовлекает аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().
Убедитесь, что вы применили обновления безопасности, выпущенные от 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом описании уязвимости, чтобы узнать, как защитить вашу систему от этой уязвимости.
Microsoft предлагает два решения: отключение службы диспетчера очереди печати и отключение входящей удаленной печати с помощью групповой политики. Первое решение отключает локальную и удаленную печать на устройстве. Решение подойдет для случаев, когда функция печати не требуется и не подойдет для случаев, если функция печати используется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но данное решение не удобно.
В качестве второго решения требуется доступ к редактору групповой политики, который доступнен только в версиях Windows Pro и Enterprise.
Два решения для закрытия уязвимости CVE-2021-34527 (PrintNightmare)
Отключение диспетчер очереди печати
Чтобы отключить диспетчер очереди печати, выполните следующие рекомендации:
Последние две команда останавливают службу диспетчера очереди печати и отключают её.
Второе решение – отключение службы входящей удаленной печати с помощью редактора групповой политики
Чтобы отключить входящую удаленную печать, выполните следующие рекомендации:
0Patch разработали и опубликовали микропатч, который устраняет проблему удаленного выполнения кода диспетчера очереди печати. Однако исправление было создано только для серверных версий Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.
Microsoft выпустила новый патч для уязвимости PrintNightmare: Установите как можно скорее
PrintNightmare — уязвимость, которую Microsoft начала публично расследовать в июне. Она позволяет эксплуатировать незащищенные функции службы диспетчера очереди печати Windows для запуска удаленного выполнения кода с привилегиями «СИСТЕМА». Данной уязвимости был присвоен «высокий» рейтинг опасности, и Редмонд сразу же выпустил несколько рекомендаций и мер снижения рисков эксплуатации. Microsoft выпустила патч, который, как оказалось, можно обойти. Однако, сам Редмонд отмечал, что это происходит только тогда, когда пользователи используют неподдерживаемые значения реестра.
Сегодня, 10 августа 2021 года, Microsoft выпустила новый патч KB5005033, который изменяет стандартное поведение функции Point and Print в Windows, поскольку текущая реализация не отвечает требованиям безопасности. В дальнейшем для установки и обновления драйверов Point and Print потребуются права администратора. По сути, это означает, что все уязвимости, связанные со службой диспетчера очереди печати Windows, которые были публично задокументированы, теперь будут устранены.
Microsoft сообщает, что данное изменение негативно повлияет на пользователей, не являющихся администраторами, потому что ранее они могли устанавливать и обновлять эти драйверы. Однако в компании считают, что преимущества данных мер намного перевешивают это неудобство. Microsoft предупредила, что если администраторы не установят это обновление, то обслуживаемые устройства будут подвержены уязвимостям PrintNightmare. Нужно помнить, что PrintNightmare влияет практически на все версии Windows, поэтому важно, чтобы патч был установлен как можно скорее. Дополнительную информацию можно найти в бюллетене безопасности, посвященном CVE-2021-34481.
В сеть просочился эксплоит для опасной проблемы PrintNightmare в Windows
Linux для хакера
В сети был опубликован PoC-эксплоит для опасной уязвимости в Windows Print Spooler (spoolsv.exe). Этот баг имеет идентификатор CVE-2021-1675 или носит имя PrintNightmare. Он был исправлен Microsoft всего пару недель назад, в рамках июньского «вторника обновлений».
Служба Windows Print Spooler является универсальным интерфейсом между ОС, приложениями и локальными или сетевыми принтерами, позволяя разработчикам приложений отправлять задания на печать. Эта служба присутствует в составе Windows с 90-х годов и печально известна благодаря огромному количеству связанных с ней проблем. В частности, с Windows Print Spooler были связаны такие уязвимости, как PrintDemon, FaxHell, Evil Printer, CVE-2020-1337 и даже ряд 0-day багов, которые использовались в атаках Stuxnet.
Новейшая проблема CVE-2021-1675 была обнаружена экспертами компаний Tencent Security, AFINE и NSFOCUS в начале текущего года. Изначально баг был классифицирован как малоопасная уязвимость повышения привилегий, позволявшая злоумышленникам получить права администратора. Однако на прошлой неделе Microsoft обновила описание ошибки, сообщив, что проблема чревата удаленным выполнением произвольного кода.
Ранее о CVE-2021-1675 не было известно практически ничего, так как эксперты не публиковали технических описаний проблемы или эксплоитов для нее. Но на прошлой неделе китайская компания QiAnXin показала файл GIF, где продемонстрировала работу своего эксплоита для CVE-2021-1675. При этом компания не опубликовала никаких технических подробностей и сам эксплоит, чтобы дать пользователям больше времени на установку патчей.
Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw
Однако теперь на GitHub выложили подробный отчет с техническим описанием проблемы, а также работающий PoC-эксплоит. Похоже, это произошло из-за чьей-то ошибки, и репозиторий был отключен спустя несколько часов. Впрочем, даже за этот короткий промежуток времени его успели клонировать несколько других пользователей.
В этом «утекшем» документе, написанном тремя аналитиками из китайской компании Sangfor, подробно описывается, как эксперты обнаружили ошибку независимо от вышеупомянутых экспертов.
«Мы тоже нашли эту уязвимость и надеялись сохранить ее в секрете, чтобы принять участие в Tianfu Cup [хакерское соревнование, проводящееся в Китае]», — писали эксперты Sangfor, объясняя, что после того как QiAnXin опубликовала демонстрацию своего эксплоита, они сочли, что пора опубликовать свой отчет и PoC.
Впрочем, через несколько часов после этого заявления команда отказалась от своих слов (похоже, эксперты решили не раскрывать все детали своего выступления, запланированного на конференции Black Hat USA 2021) и удалила репозиторий с GitHub. Но было уже поздно, PoC-эксплоит стал достоянием общественности.
Так как уязвимость CVE-2021-1675, которую в Sangfor назвали PrintNightmare, затрагивает все версии Windows и может влиять даже на XP и Vista, используясь для удаленного выполнения кода, компаниям настоятельно рекомендуется как можно скорее обновить свой парк машин под управлением Windows.
Сразу несколько ИБ-специалистов предупредили (1, 2, 3), что выпущенный ранее в этом месяце патч исправил лишь первоначальный баг, связанный с повышением привилегий, но не защищает от RCE. По сути, установка исправления для CVE-2021-1675 не защищает от возможных атак, и теперь системным администраторам рекомендуется отключить Windows Print Spooler, особенно на серверах, работающих в качестве контроллеров домена.