Исследователь открыл доступ к серверу удаленной печати, который дает любому права администратора Windows на ПК
Издание Bleeping Computer проверило возможность получения прав администратора в последней версии Windows 10.
Исследователь и разработчик ИБ-утилит Бенджамин Делпи открыл в тестовых целях доступ к серверу удаленной печати, который дает любому пользователю права администратора Windows на ПК, чтобы обратить внимание Microsoft на так и не решенную проблему PrintNightmare. Эта уязвимость в службе диспетчера печати может использоваться для получения привилегий уровня SYSTEM. Она позволяет устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с правами администратора на почти всех версиях Windows, включая старые.
Пример использования сервера удаленной печати для получения административных привилегий в Windows 10 пользователю со «Стандартными» (ограниченными) привилегиями в ОС
Параметры подключения для тестового соединения и проверки Windows на уязвимость PrintNightmare:
- путь для доступа к серверу удаленной печати \\printnightmare.gentilkiwi.com;
- имя пользователя: .\gentilguest;
- пароль: password;
- принтер: Kiwi Legit Printer.
После подключения к удаленному принтеру в системе Windows устанавливаются специально созданные драйвера на него, позволяющие злоупотребить Windows API и использовать уязвимость в службе диспетчера печати ОС, а также запускается командная строка под администратором.
Дельпи пояснил Bleeping Computer, что одной из движущих причин, по которой он открыл всем этот сервис для тестирования, является давление на Microsoft, чтобы компания поменяла свои приоритеты, обратила внимание на проблему и полностью исправила эту уязвимость.
Дельпи мониторит тех, кто сейчас подключается к его тестовому принтеру. Он не может определить, какие IP-адреса принадлежат обычным пользователям, исследователям или злоумышленникам и не блокирует их. Тем не менее, он зафиксировал большое количество входов на его сервер удаленной печати со стороны российских IP-адресов.
6 июля 2021 года Microsoft выпустила патчи против RCE вектора критической уязвимости PrintNightmare (CVE-2021–34527) в службе диспетчера печати для всех поддерживаемых версий Windows, включая старые. Уязвимость PrintNightmare включает в себя вектор удаленного выполнения кода (RCE) и локального повышения привилегий (LPE), который можно использовать в атаках для выполнения команд с привилегиями SYSTEM в уязвимой системе. Исследователи обнаружили, что эти патчи не помогают от использования специально настроенного сервера удаленной печати.
1 июля 2021 года Microsoft предупредила системных администраторов о критической уязвимости нулевого дня, позволяющей удаленно выполнить зловредный код в системе, в службе диспетчера печати всех текущих поддерживаемых версий Windows и настоятельно попросила их отключить службу диспетчера очереди печати Windows (spoolsv.exe) на контроллерах домена и хостах, не связанных с печатью, например, в PowerShell под администратором запустить команды «Stop-Service -Name Spooler -Force» и «Set-Service -Name Spooler -StartupType Disabled».
Еще варианты блокирования использования удаленно уязвимости: блокировать трафик RPC и SMB на границе внутренней сети компании или запретить все принтеры и разрешить доступ только к проверенным серверам печати и принтерам с помощью групповой политики и настроить PackagePointAndPrintServerList.
