Microsoft підтвердила існування ще однієї уразливості windows print spooler

18

Історія про принтери і їх проблеми в операційних системах windows ще не закінчилася. У четвер microsoft підтвердила існування ще однієї уразливості в службі windows print spooler. Її позначили cve-2021-36958.

Microsoft розповідає, що вразливість відкривається, коли служба диспетчера черги друку windows неправильно виконує привілейовані файлові операції. Якщо задіяти цю вразливість, хакер зможе виконувати довільний код з системними правами. Далі можна встановлювати програми, дивитися, міняти і видаляти дані, створювати нові акаунти з усіма правами.

Проблема пов’язана з багом printnightmare, проти якого microsoft зовсім недавно випустила патч. Він повинен був зменшити масштаб проблеми, оскільки після його установки потрібні права адміністратора для запуску установок і оновлень драйверів point and print. В реальності в системах, де драйвери принтера вже встановлені, уразливість доступна без прав адміністратора.

Вразливість спочатку була віднесена до категорії віддалене виконання коду (rce), але є думка, що це локальна ескалація привілеїв (lpe). Приблизно так описує можливі атаки microsoft.

Вона знову працює над виправленням, а поки рекомендує відключити службу диспетчера черги друку. Спеціаліст з інформаційної безпеки бенджамін делпі пропонує інший спосіб. Він радить обмежити друк тільки схваленими серверами за допомогою параметра windows “вказати пакет і роздрукувати-затверджені сервери” в груповій політиці windows.

Для додавання серверів до цієї політики потрібно перейти до редактора локальних групових політик за адресою конфігурація користувача>адміністративні шаблони>панель керування>принтери>точка пакування та друк — затверджені сервери (>змінити). Це не офіційна рекомендація microsoft, тому компанія не відповідає за наслідки.