Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Эксперты сообщили о неисправленной уязвимости в Windows Print Spooler

20/07/21

printer troubleСпустя несколько дней после того, как Microsoft выпустила предупреждение о новой уязвимости повышения привилегий в службе печати Windows Print Spooler, создатель инструмента Mimikatz Бенджамин Делпи (Benjamin Delpy) обнародовал некоторые подробности о еще одной возможной уязвимости в диспетчере.

По словам Делпи, данная уязвимость позволяет выполнить произвольный код с правами SYSTEM с помощью вредоносного сервера печати. Разработанный специалистом эксплоит использует функцию под названием Queue-Specific Files, обеспечивающую автоматическую загрузку и исполнение DLL-библиотек. Воспользовавшись данным функционалом, злоумышленник может загрузить вредоносную DLL при подключении клиента к подконтрольному атакующему серверу печати. Вредоносная DLL, поясняет Делпи, будет запускаться с привилегиями SYSTEM, предоставляя возможность выполнить любую команду на компьютере.

Как пояснил аналитик CERT/CC Уилл Дорманн (Will Dormann), Windows требует, чтобы пакеты драйверов были подписаны доверенным источником, однако драйверы могут указывать файлы, которые будут связаны с конкретной очередью печати.

«Например, общий принтер может указать папку CopyFiles для произвольных ICM файлов. Эти файлы копируются поверх драйверов печати с цифровой подписью и на них не распространяется требование о наличии цифровой подписи. Таким образом, любой файл может быть скопирован на клиентскую систему через процесс «Точка и Печать», где он может быть использован другим принтером с правами SYSTEM,» - отметил Дорманн.

Опасность уязвимости заключается в том, что она затрагивает все поддерживаемые версии Windows и позволяет атакующему с ограниченным доступом к системе повысить права и продвигаться по сети и в том числе получить доступ к контроллеру домена.

На данный момент, исправления для этой уязвимости не существует. В качестве меры предосторожности специалисты рекомендуют настроить PackagePointAndPrintServerList для предотвращения установки принтеров с произвольных серверов и блокировать входящий SMB трафик.

В настоящее время неясно, существует ли связь между вышеописанной уязвимостью и проблемой CVE-2021-34481, о которой на прошлой неделе сообщила Microsoft.

Темы:WindowsпринтерыУгрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...