6 июля Microsoft выпустила патч для PrintNightmare, но он оказался неполным и легко обходится. Под общим названием PrintNightmare скрывается не одна уязвимость, а сразу две. Одна позволяет запускать произвольный код удалённо с максимальными привилегиями.
Двухголовый «баг»
Корпорация Microsoft не смогла с первого раза полностью исправить критическую уязвимость в системе вывода на печать в ОС Windows. Выпущенный экстренным манером патч оказалось возможным обойти.
Уязвимости нулевого дня под общим названием PrintNightmare были выявлены в конце июня 2021 г.; это сразу два «бага» в диспетчере печати, один из которых позволяет запускать произвольный код удалённо с максимальными привилегиями, а другой — повышать привилегии локального пользователя в системе.
Изначально возникла некоторая путаница в обозначениях: исследователи сначала решили, что PrintNightmare — это одна уязвимость, известная как CVE-2021-1675, однако потом — благодаря разъяснениям Microsoft — стало очевидно, что речь идёт о двух разных ошибках. Второй «баг» получил индекс CVE-2021-34527.
CVE-2021-1675 — это ошибка повышения привилегий в диспетчере печати Windows (Windows Print Spooler), в то время как CVE-2021-34527 позволяет запускать произвольный код в контексте этого же диспетчера.
Злоумышленники могут использовать эти «баги» для захвата контроля над любым сервером или компьютером на базе любых версий Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах.
Microsoft обозначает как PrintNightmare только вторую из этих двух уязвимостей; во многих источниках, впрочем, их смешивают.
Недемонстрационная эксплуатация
В Сети уже несколько дней циркулируют демонстрационные эксплойты, утекшие по ошибке — или потому, что Microsoft в июне выпустила патч, исправляющий (увы, только частично) эту проблему.
«Это означает, что в ближайшем будущем нас ждут множащиеся попытки эксплуатировать одну или обе уязвимости, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Демонстрационный эксплойт вполне возможно переделать в полноценный вредонос, а по меньшей мере одна из этих уязвимостей носит критический характер и довольна проста в эксплуатации. А выпущенный к настоящему времени патч исправляет только часть проблемы и при определённых условиях — обходится».
По данным Microsoft, уязвимость CVE-2021-34527 действительно уже активно эксплуатируется киберзлоумышленниками.
Недоделанный патч
6 июля 2021 г. Microsoft выпустила экстренное обновление, которое было призвано решить проблему с PrintNightmare. Исправление вышло для Windows 10 версий 1507, 1809, 1909, 2004, 20H2 и 21H1, Windows Server 2019, а также для снятых с поддержки Windows 7, 8.1 и Windows Server 2008 и 2012. Обновления для Windows 10 1607 и 1803, а также Windows Server 2016 были обещаны в ближайшее время.
Довольно быстро выяснилось, что оно неполное. Во-первых, обновление исправляет только одну из двух уязвимостей — CVE-2021-34527. Эксперты по информбезопасности быстро выяснили, что патч не устраняет угрозу со стороны второго «бага». Он менее опасен, поскольку его эксплуатация возможна только при наличии у злоумышленников локального доступа к атакуемой системе, но и подобный сценарий со счетов сбрасывать нельзя.
Во-вторых, как выяснил создатель Mimikatz Бенджамин Делпи (Benjamin Delpy), выпущенное исправление можно обойти и добиться запуска произвольного кода, если в системе действует политика Point and Print и отключены предупреждения о попытках повышения привилегий (иллюстрация Bleeping Computer).
Системным администраторам рекомендовано временно отключить диспетчер печати, пока не будет выпущен патч, полностью решающий проблему.
Компания oPatch выпустила микропатч, который блокирует попытки эксплуатировать уязвимость, но он работает только если не устанавливать патч Microsoft от 6 июля.
