Print nightmare windows 7 как обновить

Обновлено: 03.07.2024

Уязвимость PrintNightmare связана с диспетчером очереди печати Windows и затрагивает все версии Windows. К сожалению, патч не полностью исправляет уязвимость, и злоумышленники по-прежнему могут ее эксплуатировать для получения привилегий SYSTEM.

Уязвимость удаленного исполнения кода с идентификатором CVE-2021-34527 позволяет злоумышленникам получить контроль над затронутыми серверами. В случае успешной эксплуатации они получают привилегий SYSTEM, а значит могут устанавливать программы, просматривать, изменять и удалять данные и создавать новые учетные записи с полными правами.

Подробные инструкции по установке внеочередных обновлений безопасности для вашей операционной системы доступны в документах поддержки, ссылки на которые приведены ниже:

• Windows 10, версия 21H1 (KB5004945)
• Windows 10, версия 20H1 (KB5004945)
• Windows 10, версия 2004 (KB5004945)
• Windows 10 версия 1909 (KB5004946)
• Windows 10 версия 1809 и Windows Server 2019 (KB5004947)
• Windows 10, версия 1803 (KB5004949) [пока недоступно]
• Windows 10, версия 1507 (KB5004950)
• Windows 8.1 и Windows Server 2012 (ежемесячный накопительный пакет KB5004954 / обновление безопасности KB5004958)
• Windows 7 SP1 и Windows Server 2008 R2 SP1 (ежемесячный накопительный пакет обновлений KB5004953 / обновление безопасности KB5004951)
• Windows Server 2008 SP2 (ежемесячный накопительный пакет KB5004955 / обновление безопасности KB5004959)

Microsoft пока не выпустила обновления безопасности для Windows 10, версия 1607, Windows Server 2016 или Windows Server 2012, но обещает сделать это в ближайшее время.

Заметки к выпуску для этих обновлений могут публиковаться с задержкой до часа после того, как обновления станут доступны для загрузки.

Обновления для остальных уязвимых поддерживаемых версий Windows будут выпущены в ближайшие дни.

Патчи исправляют только удаленную эксплуатацию

Уязвимость PrintNightmare включает в себя вектор удаленного выполнения кода (RCE) и локального повышения привилегий (LPE), который можно использовать в атаках для выполнения команд с привилегиями SYSTEM в уязвимой системе.

После того, как Microsoft выпустила экстренное обновление, исследователь безопасности Мэтью Хики (Matthew Hickey) проанализировал патч и подтвердил, что он исправляет только RCE составляющую, но не LPE.

Это означает, что исправление является неполным, и злоумышленники и вредоносное ПО могут эксплуатировать уязвимость для получения привилегий SYSTEM.

Также доступны меры по закрытию уязвимости

Microsoft настоятельно рекомендует клиентам незамедлительно установить эти внеочереденые обновления безопасности, чтобы устранить уязвимость PrintNightmare.

Пользователи, которые не могут установить данные обновления как можно скорее, могут ознакомиться с обходными путями, опубликованными в бюллетене безопасности CVE-2021-34527, чтобы защитить свои систему от атак, эксплуатирующих PrintNightmare.

Доступные варианты смягчения атак включают отключение службы диспетчера очереди печати — в этом случае будет заблокирована возможность локальной или удаленной печати — и отключение входящей удаленной печати с помощью групповой политики для удаления вектора удаленной атаки путем блокировки входящих операций удаленной печати.

Microsoft заявляет, что при использовании второго варианта «система больше не будет функционировать как сервер печати, но локальная печать на напрямую подключенное устройство по-прежнему будет работать».

На прошлой неделе Агентство кибербезопасности и защиты инфраструктуры (CISA) опубликовало предупреждение об уязвимости PrintNightmare, рекомендующее администраторам отключить службу диспетчера очереди печати на серверах, которые не используются для печати.

Закрываем уязвимость диспетчера очереди печати Windows (PrintNightmare)

Обновлено: 07.07.2021. Microsoft выпустила обновление KB5004945 для Windows 10, версия 21H1, 20H2 и 2004 для устранение уязвимости PrintNightmare.

Microsoft недавно расскрыла информацию о новой уязвимости удаленного выполнения кода в Windows, которая использует диспетчер очереди печати Windows. Уязвимость активно эксплуатируется, и поэтому компания опубликовала сразу два предварительных решения для защиты систем от атак, использующих данную уязвимость.

Известно, что уязвимость CVE-2021-34527 (PrintNightmare) затрагивает как серверные операционные системы, такие как Windows Server 2008, 2012, в том числе Windows Server 2016, так и десктопные версии Windows 7 SP1, Windows 8.1, Windows 10 1809 и выше, в том числе Windows 10 21H1.

Компания Acros Security, разработчик 0patch Agent для Windows, проанализировав уязвимость, предположила, что проблема затрагивает преимущественно серверные версии Windows Server. Однако, уязвимость может также затрагивать и десктопные версии Windows 10 и серверные версии Windows Server без DC (контроллер доменов), при условии внесения следующих изменений в конфигурацию по умолчанию:

Описание уязвимости CVE-2021-34527 (PrintNightmare):

Уязвимость удаленного выполнения кода эксплуатируется в случаях, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.

Атака вовлекает аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().

Убедитесь, что вы применили обновления безопасности, выпущенные от 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом описании уязвимости, чтобы узнать, как защитить вашу систему от этой уязвимости.

Microsoft предлагает два решения: отключение службы диспетчера очереди печати и отключение входящей удаленной печати с помощью групповой политики. Первое решение отключает локальную и удаленную печать на устройстве. Решение подойдет для случаев, когда функция печати не требуется и не подойдет для случаев, если функция печати используется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но данное решение не удобно.

В качестве второго решения требуется доступ к редактору групповой политики, который доступнен только в версиях Windows Pro и Enterprise.

Security Week 28: уязвимости PrintNightmare в деталях

Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows.

В разборе «Лаборатории» упомянуты две уязвимости в системе печати: CVE-2021-1675 и CVE-2021-34527. Они используют похожий механизм эксплуатации, но если первую уязвимость можно использовать только локально, то вторую — еще и удаленно. Ошибка в коде приводит к недостаточной валидации ввода в ходе добавления нового принтера. В результате появляется возможность загрузить в систему вредоносный DLL-файл. Повторная попытка «добавить принтер» позволяет обратиться к этому файлу, который запустится с системными привилегиями.

Система Print Spooler работает в Windows (в том числе в серверных версиях) по умолчанию. Наибольшую опасность представляет атака именно на серверы, так что Microsoft выпустила рекомендации по отключению системы печати на контроллерах домена.

Что еще произошло

Еще один краткий отчет экспертов «Лаборатории Касперского» посвящен атаке шифровальщика REvil, нацеленной на поставщиков услуг удаленного администрирования и их клиентов. По данным исследователей, к 5 июля, через 4 дня после начала атаки, было зафиксировано более 5000 попыток взлома.

Команда GitHub Security провела аудит открытого ПО Fail2Ban, используемого для ограничения брутфорс-атак на серверы SSH. И не нашла каких-либо серьезных уязвимостей.

Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.

Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.

Два решения для закрытия уязвимости CVE-2021-34527 (PrintNightmare)

Отключение диспетчер очереди печати

Чтобы отключить диспетчер очереди печати, выполните следующие рекомендации:

• Откройте PowerShell с повышенными привилегиями, например, используя сочитание клавиш Win + X и из выпадающего списка выберите Windows PowerShell (Администратор).
• Поочередно запустите следующие команды:

Последние две команда останавливают службу диспетчера очереди печати и отключают её.

Обратите внимание. После внесения изменений вы больше не сможете использовать функцию печати (если снова не включите службу диспетчера очереди печати).

Второе решение – отключение службы входящей удаленной печати с помощью редактора групповой политики

Чтобы отключить входящую удаленную печать, выполните следующие рекомендации:

• Нажмите сочетание клавиш Windows + R , чтобы открыть окно команды «Выполнить».
• Введите gpedit.msc и нажмите ОК.
• В открывшемся Редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера / Административные шаблоны / Принтеры
• Два раза нажмите на политику Разрешить очереди печати принтера прием клиентских подключений.
• Установите для политики значение Отключено.
• Нажмите на кнопку Применить.

0Patch разработали и опубликовали микропатч, который устраняет проблему удаленного выполнения кода диспетчера очереди печати. Однако исправление было создано только для серверных версий Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.

Print Nightmare (CVE-2021-1675) эксплуатация и защита

Данный материал предназначен только для исследования уязвимости и построения своевременной защиты.

Уязвимость Spooler позволяет удаленно или локально запускать вредоносную dll для эксплуатации нужны учетные данные пользователя с минимальными привилегиями, патч выпущенный Microsoft не закрывает уязвимость.

Windows Server 2019

Для успешного запуска exploit понадобится python3 с установленной библиотекой Impacket

Запускаем exploit и получаем вывод с параметрами запуска

Так же для эксплуатации понадобится SMB без авторизации

Перезапускаем службу после изменения конфигурации

Для определения уязвимых хостов можно использовать rpcdump.py из библиотеки Impacket

Создаем reverse shell dll для тестирования exploit в папке с открытым доступом SMB

После обращения к вредоносной dll на скомпрометированном сервере будет открыто reverse shell подключение, для этого на своем Parrot будем слушать порт 443 и ожидать подключения

Реверс малвари

Ранее на этой неделе многие ИБ-исследователи предупреждали, что экстренный патч для опасной уязвимости PrintNightmare оказался неэффективен и не устранял проблему окончательно. Напомню, что эксперты обнаружили, что даже после установки исправления уязвимость все еще можно эксплуатировать локально для получения привилегий SYSTEM.

Хуже того, разработчик Mimikatz Бенджамин Делп сообщал, что патч можно обойти полностью и использовать уязвимость не только для локального повышения привилегий, но и для удаленного выполнения произвольного кода. Для этого должна быть активна политика Point and Print Restrictions, а параметр «When installing drivers for a new connection» должен быть установлен на значение «Do not show warning on elevation prompt».

Теперь в Microsoft ответили на эти предупреждения и сообщили, что патч работает корректно:

«Наше расследование показало, что внеплановое обновление безопасности работает должным образом и эффективно против известных эксплоитов и других публичных отчетов, которые в совокупности известны как PrintNightmare. Все изученные нами отчеты были основаны на изменении настроек реестра по умолчанию, связанных с функцией Point and Print, на небезопасную конфигурацию», — заявили в компании.

Также инженеры Microsoft обновили руководство по исправлению проблемы PrintNightmare и по-прежнему призывают пользователей установить патчи как можно скорее. Теперь руководство выглядит так:

• в любом случае применить патч для CVE-2021-34527 (обновление не изменит существующие настройки реестра);
• после применения обновления проверить параметры реестра, задокументированные в описании CVE-2021-34527;
• если перечисленные там ключи реестра не существуют, дальнейшие действия не требуются;
• если ключи реестра существуют, для защиты системы необходимо подтвердить, что для следующих ключей реестра установлены значения 0 (ноль) или они отсутствуют:
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  NoWarningNoElevationOnInstall = 0 (DWORD) или неопределенно (по умолчанию)
  UpdatePromptSettings = 0 (DWORD) или неопределенно (по умолчанию).

Однако помимо вопросов к эффективности внепланового патча с ним возникли и другие трудности. Издание Bleeping Computer сообщило, что обновление KB5004945, предназначенное для устранения PrintNightmare, вывело из строя некоторые модели принтеров Zebra и Dymo.

После выхода патча пользователи стали массово жаловаться в Twitter и на Reddit (1, 2, 3, 4), что печать на принтерах для этикеток Zebra стала невозможна. По словам пострадавших, проблема затрагивала только принтеры, напрямую подключенные к Windows-устройствам через USB. Принтеры Zebra, подключенные к серверу печати, не пострадали.

«У нас около 1000 клиентов, использующих принтеры Zebra, и они заваливают нас звонками, потому что не могут печатать. Наверняка виновато это обновление, потому что после его отката [принтер] снова плюется [этикетками]», — пишет один из пользователей.

Сообщалось, что баг коснулся только определенных моделей Zebra, включая наиболее популярные: LP 2844, ZT220, ZD410, ZD500, ZD620, ZT230, ZT410 и ZT420.

Разработчики Zebra подтвердили, что им известно о проблеме. В компании советовали:

«Немедленным способом решения проблемы является удаление обновления KB5004945 для Windows или удаление соответствующего драйвера принтера и его повторная установка с использованием учетных данных администратора».

Однако ситуация усугублялась тем, что это обязательное обновление безопасности, а значит, через некоторое время Windows автоматически установит его опять.

Интересно, что в Microsoft сообщили, что эти сбои вообще не связаны с CVE-2021-34527 и CVE-2021-1675, но вызваны изменениями в preview-версии накопительного обновления за июнь 2021 года. Разработчики выпустили экстренные патчи для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, чтобы устранить баги.

«После установки обновлений KB5003690 или более поздних (в том числе дополнительных обновлений KB500476 и KB5004945) у вас могли возникнуть проблемы с печатью на определенных принтерах. Наиболее уязвимые устройства — это принтеры для печати чеков и этикеток, которые подключаются через USB», — пишут разработчики Microsoft.

Исправления развертываются с помощью Microsoft Known Issue Rollback (KIR), которая распространяет патчи для известных ошибок через Windows Update. То есть патчи должны добраться до большинства пользователей в ближайшие сутки.

Срочно установите обновления Windows, закрывающие уязвимости CVE-2021-1675 и CVE-2021-34527 в сервисе Windows Print Spooler.

В конце июня исследователи по безопасности начали активно обсуждать уязвимость в диспетчере очереди печати Windows (Print Spooler), получившую название PrintNightmare. Изначально предполагалось, что июньский патч от Microsoft, вышедший в очередной вторник патчей, избавляет от этой проблемы. Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой. При этом потенциально злоумышленники могут использовать их для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах. Microsoft официально относит название PrintNightmare только ко второй уязвимости, но во многих источниках обе проходят под одним кодовым именем.

Почему уязвимость PrintNightmare особенно опасна

Тут играют роль два фактора. Во-первых, как уже отмечено выше, сервис Windows Print Spooler по умолчанию включен на всех Windows-системах. В том числе, например, на контроллерах доменов и на машинах с правами администраторов системы.

Что за уязвимости и чем чревата их эксплуатация

CVE-2021-1675 относится к классу уязвимостей эскалации привилегий. Благодаря ей атакующий с правами обычного пользователя может применить специально созданный вредоносный DLL-файл, чтобы запустить эксплойт. Но для эксплуатации ему уже необходимо находиться на уязвимой машине. Microsoft расценивает вероятность ее эксплуатации как достаточно низкую. CVE-2021-34527 гораздо опаснее: это уязвимость удаленного исполнения кода (RCE). Принцип тот же, но благодаря ей злоумышленники могут подсунуть вредоносную библиотеку удаленно. По данным Microsoft, злоумышленники уже эксплуатируют эту уязвимость. Более подробное техническое описание эксплуатации обеих уязвимостей доступно в нашем блоге Securelist.

Злоумышленники могут использовать PrintNightmare для доступа к данным, хранящимся в корпоративной инфраструктуре, и, как следствие, для атак при помощи шифровальщиков-вымогателей.

Как обезопасить свою инфраструктуру от PrintNightmare

Для начала необходимо срочно поставить патчи от Microsoft: июньский, закрывающий уязвимость CVE-2021-1675, и, самое главное, июльский, который позволяет обезопасить систему от CVE-2021-34527. Если по каким-то причинам вы не можете установить эти патчи, Microsoft предлагает два варианта обходных маневров (доступны по той же ссылке, что и патч), один из которых даже не требует отключения диспетчера очереди печати.

Тем не менее стоит подумать о том, чтобы в принципе отключить сервис диспетчера очереди печати на машинах, которым он наверняка не нужен. В частности, серверам, на которых работают контроллеры доменов, — сомнительно, что кому-то нужно печатать с них что-либо.

Кроме того, все серверы и компьютеры в корпоративной инфраструктуре должны быть снабжены защитными решениями, способными выявлять попытки эксплуатации как известных, так и до сих пор не обнаруженных уязвимостей, в том числе и PrintNightmare.

Компания выпустила «заплатку» даже для неподдерживаемой Windows 7.

Уязвимость PrintNightmare обнаружили в конце июня исследователи из компании Sangfor. Они опубликовали на Github образец кода для эксплуатации уязвимости (эксплойт) — видимо, случайно, потому что быстро удалили его. Но код успел разойтись по интернету, в результате чего Microsoft пришлось работать над срочными обновлениями для исправления уязвимости. Об этом пишет The Verge.

Мы удалили образцовый эксплойт для PrintNightmare. Чтобы защититься от этой уязвимости, пожалуйста, обновите Windows до последней версии или отключите службу печати. Чтобы узнать больше об уязвимостях в службе печати, следите за обновлениями и ждите нашего выступления на конференции Black Hat.

PrintNigthmare — крупная уязвимость в системной службе печати, которой подвержены все версии Windows, выпущенные с 2008 года:

• Windows 7
• Windows Server 2008
• Windows Server 2012/2012 R2
  
• Windows 8.1/RT 8.1
  
• Windows 10
• Windows Server 2016
  
• Windows Server 2019
  

Используя эту уязвимость, взломщик может удалённо выполнить любой код — установить или удалить программы, скопировать, изменить или удалить данные, создать новые учётные записи с правами администратора. Microsoft присвоила PrintNigthmare высшую степень опасности, потому что служба печати по умолчанию запущена во всех версиях Windows, а использовать уязвимость относительно несложно.

Компания рекомендует как можно скорее установить обновления безопасности, выпущенные 6 июля 2021 года или позже. Они уже доступны для всех перечисленных выше версий системы, кроме Windows Server 2012, Windows Server 2016 и Windows 10 версии 1607. Также можно отключить службу с помощью следующих команд в PowerShell:

Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled

Это не первая серьёзная уязвимость в службе печати Windows — израильский вирус Stuxnet, который в 2010 году повредил около тысячи иранских центрифуг для обогащения урана, также использовал ошибки в коде Windows Print Spooler.

Читайте также:

  
• Windows host process rundll32 не отвечает
  
• Настройка звука через hdmi ubuntu
  
• Служба comproxy для windows 10 как установить
  
• Много сетевых адаптеров windows 10
  
• Вотч догс 2 не запускается на виндовс 10