20/07/21
Спустя несколько дней после того, как Microsoft выпустила предупреждение о новой уязвимости повышения привилегий в службе печати Windows Print Spooler, создатель инструмента Mimikatz Бенджамин Делпи (Benjamin Delpy) обнародовал некоторые подробности о еще одной возможной уязвимости в диспетчере.
По словам Делпи, данная уязвимость позволяет выполнить произвольный код с правами SYSTEM с помощью вредоносного сервера печати. Разработанный специалистом эксплоит использует функцию под названием Queue-Specific Files, обеспечивающую автоматическую загрузку и исполнение DLL-библиотек. Воспользовавшись данным функционалом, злоумышленник может загрузить вредоносную DLL при подключении клиента к подконтрольному атакующему серверу печати. Вредоносная DLL, поясняет Делпи, будет запускаться с привилегиями SYSTEM, предоставляя возможность выполнить любую команду на компьютере.
Как пояснил аналитик CERT/CC Уилл Дорманн (Will Dormann), Windows требует, чтобы пакеты драйверов были подписаны доверенным источником, однако драйверы могут указывать файлы, которые будут связаны с конкретной очередью печати.
«Например, общий принтер может указать папку CopyFiles для произвольных ICM файлов. Эти файлы копируются поверх драйверов печати с цифровой подписью и на них не распространяется требование о наличии цифровой подписи. Таким образом, любой файл может быть скопирован на клиентскую систему через процесс «Точка и Печать», где он может быть использован другим принтером с правами SYSTEM,» - отметил Дорманн.
Опасность уязвимости заключается в том, что она затрагивает все поддерживаемые версии Windows и позволяет атакующему с ограниченным доступом к системе повысить права и продвигаться по сети и в том числе получить доступ к контроллеру домена.
На данный момент, исправления для этой уязвимости не существует. В качестве меры предосторожности специалисты рекомендуют настроить PackagePointAndPrintServerList для предотвращения установки принтеров с произвольных серверов и блокировать входящий SMB трафик.
В настоящее время неясно, существует ли связь между вышеописанной уязвимостью и проблемой CVE-2021-34481, о которой на прошлой неделе сообщила Microsoft.
