Проблема PrintNightmare получила новый CVE-идентификатор, но не патч - «Новости» » Интернет технологии
sitename
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
 В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
 Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
 В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
 ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
 Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
 Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
 MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
 Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
 Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Проблема PrintNightmare получила новый CVE-идентификатор, но не патч - «Новости»

✔Проблема PrintNightmare получила новый CVE-идентификатор, но не патч - «Новости»

05 июля 2021 740 Новости / Изображения / Текст / Отступы и поля / Вёрстка / Добавления стилей 0

Ранее на этой неделе мы рассказывали о том, что в сети появился PoC-эксплоит для опасной уязвимости в Windows Print Spooler (spoolsv.exe), которой исследователи дали название PrintNightmare. Изначально этот баг имел идентификатор CVE-2021-1675  и был исправлен Microsoft пару недель назад, в рамках июньского «вторника обновлений».


Как оказалось, проблема PrintNightmare была гораздо опаснее, чем предполагалось изначально. Так, вначале баг был классифицирован как рядовая уязвимость повышения привилегий, позволявшая злоумышленникам получить права администратора. Однако на прошлой неделе Microsoft обновила описание ошибки, сообщив, что проблема чревата удаленным выполнением произвольного кода.


Когда в сети случайно был опубликован полностью работающий PoC-эксплоит для опасного бага, исследователи обнаружили, что выпущенный в июне патч не исправляет проблему полностью. Более того, публикация эксплоита привела многих исследователей замешательство, и некоторые предположили, что PrintNightmare — это отдельная уязвимость нулевого дня, которая нуждается в собственном исправлении. К примеру, об этом писал в Twitter Митя Колсек, глава Acros Security и сооснователь 0Patch.



Тем не менее, один из исследователей NSFOCUS, обнаруживавших оригинальную проблему CVE-2021-1675, предложил другое объяснение того, почему выпущенный патч не останавливает эксплоит для PrintNightmare. Он пишет, что для патча взяли тестовый пример из его отчета, который был неполным и ограниченным. А значит, патч действительно не полный.


Разработчик инструмента mimikatz, Бенджамин Делпи, и вовсе сообщил, что новая проблема касается только пропатченных  серверов, повышенных до контроллеров домена.



В результате администраторам настоятельно рекомендовали отключить Windows Print Spooler, особенно на серверах, работающих в качестве контроллеров домена.

Теперь RCE-ипостаси PrintNightmare наконец был присвоен собственный идентификатор CVE — CVE-2021-34527. Сообщается, что проблема позволяет удаленно выполнить произвольный код с привилегиями SYSTEM и позволяет атакующему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с пользовательскими правами.

Хуже того, Microsoft подготовила бюллетень безопасности, в котором сообщает, что проблему уже эксплуатируют в реальной жизни, правда компания не уточняет, делают это злоумышленники или ИБ-исследователи. Также сообщается, что уязвимость PrintNightmare, то есть CVE-2021-34527, очень похожа на проблему CVE-2021-1675, но все же от нее отличается другим вектором атаки.


Инженеры Microsoft пишут, что уже работают над патчем, но пока его нет, у администраторов есть несколько вариантов решения проблемы. К примеру, по-прежнему рекомендуется отключить Print Spooler вовсе, заблокировав печать локально и удаленно. Также возможно отключение входящей удаленной печати через Group Policy, что позволит заблокировать основной вектор потенциальных атак. Во втором случае «система более не будет функционировать как сервер печати, но локальная печать с напрямую подключенных устройств по-прежнему будет возможна».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Ранее на этой неделе мы рассказывали о том, что в сети появился PoC-эксплоит для опасной уязвимости в Windows Print Spooler (spoolsv.exe), которой исследователи дали название PrintNightmare. Изначально этот баг имел идентификатор CVE-2021-1675 и был исправлен Microsoft пару недель назад, в рамках июньского «вторника обновлений». Как оказалось, проблема PrintNightmare была гораздо опаснее, чем предполагалось изначально. Так, вначале баг был классифицирован как рядовая уязвимость повышения привилегий, позволявшая злоумышленникам получить права администратора. Однако на прошлой неделе Microsoft обновила описание ошибки, сообщив, что проблема чревата удаленным выполнением произвольного кода. Когда в сети случайно был опубликован полностью работающий PoC-эксплоит для опасного бага, исследователи обнаружили, что выпущенный в июне патч не исправляет проблему полностью. Более того, публикация эксплоита привела многих исследователей замешательство, и некоторые предположили, что PrintNightmare — это отдельная уязвимость нулевого дня, которая нуждается в собственном исправлении. К примеру, об этом писал в Twitter Митя Колсек, глава Acros Security и сооснователь 0Patch. Writeup for the actual CVE-2021-1675. This vuln includes DLL sideloading and was fixed with June updates.https://t.co/RBcOGb4jyW — Mitja Kolsek (@mkolsek) June 30, 2021 Тем не менее, один из исследователей NSFOCUS, обнаруживавших оригинальную проблему CVE-2021-1675, предложил другое объяснение того, почему выпущенный патч не останавливает эксплоит для PrintNightmare. Он пишет, что для патча взяли тестовый пример из его отчета, который был неполным и ограниченным. А значит, патч действительно не полный. CVE-2021-1675 is meant to fix PrintNightmare, but it seems that they just test with the test case in my report, which is more elegant and also more restricted. So, the patch is incomplete. : (— Yunhai Zhang (@_f0rgetting_) July 1, 2021 Разработчик инструмента mimikatz, Бенджамин Делпи, и вовсе сообщил, что новая проблема касается только пропатченных серверов, повышенных до контроллеров домена. Thanks to @_f0rgetting_ we have an explanation about why we have an Elevated Token (allowing
CSS
запостил(а)
Carroll
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: