Windows print spooler это
Обновлено: 06.07.2024
Срочно установите обновления Windows, закрывающие уязвимости CVE-2021-1675 и CVE-2021-34527 в сервисе Windows Print Spooler.
В конце июня исследователи по безопасности начали активно обсуждать уязвимость в диспетчере очереди печати Windows (Print Spooler), получившую название PrintNightmare. Изначально предполагалось, что июньский патч от Microsoft, вышедший в очередной вторник патчей, избавляет от этой проблемы. Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой. При этом потенциально злоумышленники могут использовать их для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах. Microsoft официально относит название PrintNightmare только ко второй уязвимости, но во многих источниках обе проходят под одним кодовым именем.
Почему уязвимость PrintNightmare особенно опасна
Тут играют роль два фактора. Во-первых, как уже отмечено выше, сервис Windows Print Spooler по умолчанию включен на всех Windows-системах. В том числе, например, на контроллерах доменов и на машинах с правами администраторов системы.
Что за уязвимости и чем чревата их эксплуатация
CVE-2021-1675 относится к классу уязвимостей эскалации привилегий. Благодаря ей атакующий с правами обычного пользователя может применить специально созданный вредоносный DLL-файл, чтобы запустить эксплойт. Но для эксплуатации ему уже необходимо находиться на уязвимой машине. Microsoft расценивает вероятность ее эксплуатации как достаточно низкую. CVE-2021-34527 гораздо опаснее: это уязвимость удаленного исполнения кода (RCE). Принцип тот же, но благодаря ей злоумышленники могут подсунуть вредоносную библиотеку удаленно. По данным Microsoft, злоумышленники уже эксплуатируют эту уязвимость. Более подробное техническое описание эксплуатации обеих уязвимостей доступно в нашем блоге Securelist.
Злоумышленники могут использовать PrintNightmare для доступа к данным, хранящимся в корпоративной инфраструктуре, и, как следствие, для атак при помощи шифровальщиков-вымогателей.
Как обезопасить свою инфраструктуру от PrintNightmare
Для начала необходимо срочно поставить патчи от Microsoft: июньский, закрывающий уязвимость CVE-2021-1675, и, самое главное, июльский, который позволяет обезопасить систему от CVE-2021-34527. Если по каким-то причинам вы не можете установить эти патчи, Microsoft предлагает два варианта обходных маневров (доступны по той же ссылке, что и патч), один из которых даже не требует отключения диспетчера очереди печати.
Тем не менее стоит подумать о том, чтобы в принципе отключить сервис диспетчера очереди печати на машинах, которым он наверняка не нужен. В частности, серверам, на которых работают контроллеры доменов, — сомнительно, что кому-то нужно печатать с них что-либо.
Кроме того, все серверы и компьютеры в корпоративной инфраструктуре должны быть снабжены защитными решениями, способными выявлять попытки эксплуатации как известных, так и до сих пор не обнаруженных уязвимостей, в том числе и PrintNightmare.
Исследователи Алекс Ионеску и Ярден Шафир недавно обнаружили уязвимость в службе Windows Print Spooler, основном компоненте ОС Windows, отвечающем за управление операциями печати. Ей присвоен номер CVE-2020-1048. Уязвимость затрагивает все версии ОС Windows c 1996 года от NT 4.0 до текущих версий этой ОС.
Attackers can exploit CVE-2020-1048 with a single PowerShell command:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
On an unpatched system, this will install a persistent backdoor, that won't go away *even after you patch*.
Фактически, это некритичная уязвимость локального повышения привилегий (local privilege escalation, LPE), используя которую злоумышленник может повысить свои привилегии в системе. Конечно, при условии, что ранее данные пользователя этой ОС уже были скомпрометированы, так как эту уязвимость нельзя использовать для проведения прямой удаленной атаки на ПК с ОС Windows.
Механизм использования PrintDemon прост — одна непривилегированная команда в PowerShell (для текущих версий ОС Windows), чтобы получить привилегии уровня администратора для всей ОС:
Add-PrinterPort -Name c:\windows\system32\ualapi.dll
В более старых версиях Windows необходимо дополнительно сделать еще некоторые операции.
Поскольку служба Windows Print Spooler предназначена для того, чтобы быть доступной любому приложению, которое хочет напечатать файл, она доступна для всех приложений, работающих в системе, без ограничений. Злоумышленник может создать задание на печать, которое печатает в файл, например локальный файл DLL, используемый ОС WIndows или другим приложением. Таким образом, злоумышленник может инициировать операцию печати, преднамеренно завершить работу службы диспетчера очереди печати и затем возобновить его работу, но на этот раз операция печати выполняется с привилегиями SYSTEM, что позволяет перезаписывать любые файлы в ОС Windows.
Ионеску выложил на GitHub информацию об этой уязвимости (PoC-эксплоит для PrintDemon) с целью помочь ИБ-специалистам и системным администраторам понять уязвимость и подготовить меры по ее устранению и обнаружению.
Эксплуатация уязвимости позволяет запустить произвольный код с привилегиями SYSTEM на системе.
Специалисты компании Microsoft предупредили об уязвимости, затрагивающей службу диспетчера очереди печати Windows Print Spooler.
Проблема ( CVE-2021-34481 ), получившая оценку в 7,8 балла по шкале CVSS, представляет собой уязвимость повышения локальных привилегий. Она связана с некорректным выполнением привилегированных файловых операций Windows Print Spooler.
Эксплуатация уязвимости позволяет запустить произвольный код с привилегиями SYSTEM на системе. Затем злоумышленник может устанавливать вредоносные программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами пользователя. Как отметили специалисты, для успешного использования уязвимости злоумышленник должен иметь возможность выполнять код на системе жертвы.
В качестве мер по предотвращению эксплуатации уязвимости Microsoft рекомендует пользователям отключить службу диспетчера очереди печати. Эксперты в настоящее время работают над устранением данной уязвимости.
Напомним, в начале июля нынешнего года Microsoft выпустила экстренное внеплановое обновление безопасности, исправляющее критическую уязвимость в сервисе печати Windows Print Spooler. Уязвимость ( CVE-2021-34527 ), получившая название PrintNightmare, позволяет удаленному атакующему захватывать контроль над уязвимыми системами. Проблема является популярной темой для обсуждения у ИБ-экспертов в течение последних нескольких недель. Впервые о ней заговорили после того, как Microsoft присвоила двум разным уязвимостям один идентификатор CVE ( CVE-2021-1675 ) и исправила только одну из них, менее опасную.
28 июня группа китайских исследователей опубликовала на GitHub свой PoC-эксплоит, будучи уверенными, что уязвимость исправлена. В течение нескольких часов PoC-эксплоит был удален – к тому времени исследователи поняли, что выпущенный Microsoft патч исправлял только один вектор атаки, предполагающий повышение привилегий. Проблема удаленного выполнения кода, позволяющая получить контроль над системой, по-прежнему оставалась неисправленной.
В итоге Microsoft признала удаленное выполнение кода отдельной уязвимостью и присвоила ей собственный идентификатор CVE. 6 июля компания выпустила исправление для нее.
Реверс малвари
Microsoft выпустила уведомление о новой уязвимости в Print Spooler (CVE-2021-36958), которая позволяет локальным злоумышленникам получить системные привилегии на компьютере. Новая уязвимость связана с другими ошибками типа PrintNightmare, которые строятся на злоупотреблении параметрами конфигурации Print Spooler, драйверов печати и функции Windows Point and Print.
Разработчики Microsoft уже выпускали патчи для PrintNightmare в июле и августе, однако проблема, исходно обнаруженная исследователем Бенджамином Делпи, по-прежнему позволяет злоумышленникам быстро получать привилегии уровня System, просто подключившись к удаленному серверу печати.
Still SYSTEM from standard user.
Уязвимость использует директиву CopyFile для копирования файла DLL, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру. Хотя недавние обновления Microsoft изменили процедуру установки нового драйвера принтера таким образом, что для этого теперь требуются права администратора, права администратора не нужны для подключения к принтеру, если драйвер уже установлен. А если драйвер уже существует на стороне клиента и, следовательно, не требует установки, подключение к удаленному принтеру по-прежнему вызовет срабатывание CopyFile без прав администратора. Эта уязвимость позволяет скопировать DLL на сторону клиента и запустить, открыть командную строку с привилегиями System.
Теперь Microsoft выпустила уведомление безопасности, сообщив о новой уязвимости в Print Spooler, которая отслеживается как CVE-2021-36958.
«Уязвимость удаленного выполнения кода связана с тем, что диспетчер очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя», — пишут разработчики.
Для защиты от этой проблемы в компании вновь рекомендуют отключить Print Spooler.
Известный ИБ-эксперт и аналитик CERT/CC Уилл Дорманн сообщил изданию Bleeping Computer, что описание уязвимости CVE-2021-36958 полностью соответствует PoC-эксплоиту, который Делпи опубликовал в Twitter 10 августа.
Также журналисты заметили, что Microsoft классифицировала эту уязвимость как проблему удаленного выполнения кода, хотя атака должна выполняться локально. Уилл Дорман подтверждает, что речь явно идет о локальном повышении привилегий (на основании оценки по шкале CVSS 7.3/6.8). Эксперт полагает, что в ближайшие дни бюллетень безопасности обновят.
Читайте также: