Microsoft выпустила экстренное исправление уязвимости PrintNightmare в Windows

2021-07-07 6339 комментарии
Компания Microsoft выпустила экстренные обновления безопасности для устранения уязвимости нулевого дня PrintNightmare в Windows, которая активно эксплуатируется в реальных условиях

Уязвимость PrintNightmare связана с диспетчером очереди печати Windows и затрагивает все версии Windows. К сожалению, патч не полностью исправляет уязвимость, и злоумышленники по-прежнему могут ее эксплуатировать для получения привилегий SYSTEM.

Уязвимость удаленного исполнения кода с идентификатором CVE-2021-34527 позволяет злоумышленникам получить контроль над затронутыми серверами. В случае успешной эксплуатации они получают привилегий SYSTEM, а значит могут устанавливать программы, просматривать, изменять и удалять данные и создавать новые учетные записи с полными правами.

Подробные инструкции по установке внеочередных обновлений безопасности для вашей операционной системы доступны в документах поддержки, ссылки на которые приведены ниже:

  • Windows 10, версия 21H1 (KB5004945)
  • Windows 10, версия 20H1 (KB5004945)
  • Windows 10, версия 2004 (KB5004945)
  • Windows 10 версия 1909 (KB5004946)
  • Windows 10 версия 1809 и Windows Server 2019 (KB5004947)
  • Windows 10, версия 1803 (KB5004949) [пока недоступно]
  • Windows 10, версия 1507 (KB5004950)
  • Windows 8.1 и Windows Server 2012 (ежемесячный накопительный пакет KB5004954 / обновление безопасности KB5004958)
  • Windows 7 SP1 и Windows Server 2008 R2 SP1 (ежемесячный накопительный пакет обновлений KB5004953 / обновление безопасности KB5004951)
  • Windows Server 2008 SP2 (ежемесячный накопительный пакет KB5004955 / обновление безопасности KB5004959)

Microsoft пока не выпустила обновления безопасности для Windows 10, версия 1607, Windows Server 2016 или Windows Server 2012, но обещает сделать это в ближайшее время.

Компания сообщает:

Заметки к выпуску для этих обновлений могут публиковаться с задержкой до часа после того, как обновления станут доступны для загрузки.

Обновления для остальных уязвимых поддерживаемых версий Windows будут выпущены в ближайшие дни.

Патчи исправляют только удаленную эксплуатацию

Уязвимость PrintNightmare включает в себя вектор удаленного выполнения кода (RCE) и локального повышения привилегий (LPE), который можно использовать в атаках для выполнения команд с привилегиями SYSTEM в уязвимой системе.

После того, как Microsoft выпустила экстренное обновление, исследователь безопасности Мэтью Хики (Matthew Hickey) проанализировал патч и подтвердил, что он исправляет только RCE составляющую, но не LPE.

Это означает, что исправление является неполным, и злоумышленники и вредоносное ПО могут эксплуатировать уязвимость для получения привилегий SYSTEM.

Также доступны меры по закрытию уязвимости

Microsoft настоятельно рекомендует клиентам незамедлительно установить эти внеочереденые обновления безопасности, чтобы устранить уязвимость PrintNightmare.

Пользователи, которые не могут установить данные обновления как можно скорее, могут ознакомиться с обходными путями, опубликованными в бюллетене безопасности CVE-2021-34527, чтобы защитить свои систему от атак, эксплуатирующих PrintNightmare.

Доступные варианты смягчения атак включают отключение службы диспетчера очереди печати — в этом случае будет заблокирована возможность локальной или удаленной печати — и отключение входящей удаленной печати с помощью групповой политики для удаления вектора удаленной атаки путем блокировки входящих операций удаленной печати.

Microsoft заявляет, что при использовании второго варианта «система больше не будет функционировать как сервер печати, но локальная печать на напрямую подключенное устройство по-прежнему будет работать».

На прошлой неделе Агентство кибербезопасности и защиты инфраструктуры (CISA) опубликовало предупреждение об уязвимости PrintNightmare, рекомендующее администраторам отключить службу диспетчера очереди печати на серверах, которые не используются для печати.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?