Print nightmare что это
Исследователи кибербезопасности случайно раскрыли детали уязвимости нулевого дня Windows — PrintNightmare
Пример применения эксплойта для уязвимости PrintNightmare.
Проблема получила название PrintNightmare. Уязвимость позволяет злоумышленнику получить полный контроль над атакованной системой через диспетчер очереди печати Windows. Microsoft настоятельно просит системных администраторов отключить службу диспетчера очереди печати Windows (spoolsv.exe) на контроллерах домена и хостах, не связанных с печатью.
Такая путаница с уязвимостями произошла из-за того, что в начале июня Microsoft действительно выпустила патч для критической уязвимости PrintNightmare (CVE-2021-1675) в диспетчере очереди печати Windows Print Spooler. Используя эту уязвимость злоумышленники могли повысить свои привилегии в системе до уровня администратора. Но некоторое время спустя компания обновила описание уязвимости (она стала уязвимостью, позволяющей удаленно выполнить зловредный код в системе) и классифицировала ее как новую с CVE-2021-34527.
Microsoft сейчас занимается подготовкой патча против фактически второй за месяц критической уязвимости в диспетчере очереди печати Windows.
Специалисты ИБ-компании Rapid7 подтвердили, что уже есть эксплоиты по этим уязвимостям для Windows Server 2019 и других серверных версий Windows, что делает многие корпоративные сервера, а особенно контроллеры доменов, уязвимыми к атакам злоумышленниками, если они смогут проникнуть удаленно в сеть предприятия. Единственный выход на данный момент — отключить службу диспетчера очереди печати на всех серверах, где это возможно.
Закрываем уязвимость диспетчера очереди печати Windows (PrintNightmare)
Обновлено: 07.07.2021. Microsoft выпустила обновление KB5004945 для Windows 10, версия 21H1, 20H2 и 2004 для устранение уязвимости PrintNightmare.
Microsoft недавно расскрыла информацию о новой уязвимости удаленного выполнения кода в Windows, которая использует диспетчер очереди печати Windows. Уязвимость активно эксплуатируется, и поэтому компания опубликовала сразу два предварительных решения для защиты систем от атак, использующих данную уязвимость.
Известно, что уязвимость CVE-2021-34527 (PrintNightmare) затрагивает как серверные операционные системы, такие как Windows Server 2008, 2012, в том числе Windows Server 2016, так и десктопные версии Windows 7 SP1, Windows 8.1, Windows 10 1809 и выше, в том числе Windows 10 21H1.
Компания Acros Security, разработчик 0patch Agent для Windows, проанализировав уязвимость, предположила, что проблема затрагивает преимущественно серверные версии Windows Server. Однако, уязвимость может также затрагивать и десктопные версии Windows 10 и серверные версии Windows Server без DC (контроллер доменов), при условии внесения следующих изменений в конфигурацию по умолчанию:
Описание уязвимости CVE-2021-34527 (PrintNightmare):
Уязвимость удаленного выполнения кода эксплуатируется в случаях, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.
Атака вовлекает аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().
Убедитесь, что вы применили обновления безопасности, выпущенные от 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом описании уязвимости, чтобы узнать, как защитить вашу систему от этой уязвимости.
Microsoft предлагает два решения: отключение службы диспетчера очереди печати и отключение входящей удаленной печати с помощью групповой политики. Первое решение отключает локальную и удаленную печать на устройстве. Решение подойдет для случаев, когда функция печати не требуется и не подойдет для случаев, если функция печати используется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но данное решение не удобно.
В качестве второго решения требуется доступ к редактору групповой политики, который доступнен только в версиях Windows Pro и Enterprise.
Два решения для закрытия уязвимости CVE-2021-34527 (PrintNightmare)
Отключение диспетчер очереди печати
Чтобы отключить диспетчер очереди печати, выполните следующие рекомендации:
Последние две команда останавливают службу диспетчера очереди печати и отключают её.
Второе решение – отключение службы входящей удаленной печати с помощью редактора групповой политики
Чтобы отключить входящую удаленную печать, выполните следующие рекомендации:
0Patch разработали и опубликовали микропатч, который устраняет проблему удаленного выполнения кода диспетчера очереди печати. Однако исправление было создано только для серверных версий Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.
Print Nightmare (CVE-2021-1675) эксплуатация и защита
Данный материал предназначен только для исследования уязвимости и построения своевременной защиты.
Уязвимость Spooler позволяет удаленно или локально запускать вредоносную dll для эксплуатации нужны учетные данные пользователя с минимальными привилегиями, патч выпущенный Microsoft не закрывает уязвимость.
Windows Server 2019
Подготовка
Для успешного запуска exploit понадобится python3 с установленной библиотекой Impacket
Запускаем exploit и получаем вывод с параметрами запуска
Так же для эксплуатации понадобится SMB без авторизации
Перезапускаем службу после изменения конфигурации
Для определения уязвимых хостов можно использовать rpcdump.py из библиотеки Impacket
Создаем reverse shell dll для тестирования exploit в папке с открытым доступом SMB
После обращения к вредоносной dll на скомпрометированном сервере будет открыто reverse shell подключение, для этого на своем Parrot будем слушать порт 443 и ожидать подключения
Эксплуатация
В качестве временного закрытия уязвимости можно отключить службу spooler
Или удалить службу принтеров
О песочнице
Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.
Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.
Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.
О модерации
Не надо пропускать:
Security Week 28: уязвимости PrintNightmare в деталях
Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows.
В разборе «Лаборатории» упомянуты две уязвимости в системе печати: CVE-2021-1675 и CVE-2021-34527. Они используют похожий механизм эксплуатации, но если первую уязвимость можно использовать только локально, то вторую — еще и удаленно. Ошибка в коде приводит к недостаточной валидации ввода в ходе добавления нового принтера. В результате появляется возможность загрузить в систему вредоносный DLL-файл. Повторная попытка «добавить принтер» позволяет обратиться к этому файлу, который запустится с системными привилегиями.
Система Print Spooler работает в Windows (в том числе в серверных версиях) по умолчанию. Наибольшую опасность представляет атака именно на серверы, так что Microsoft выпустила рекомендации по отключению системы печати на контроллерах домена.
После выпуска патча появились сообщения, что он не закрывает уязвимость целиком, но, по данным Microsoft, речь идет о настройках в реестре системы, которые делают ее уязвимой по определению. Еще одну дыру в системе печати обнаружили в прошлом году, и тогда исследователи намекали на причину многочисленных проблем в этой службе: древний код, работающий еще с конца 90-х.
Что еще произошло
Еще один краткий отчет экспертов «Лаборатории Касперского» посвящен атаке шифровальщика REvil, нацеленной на поставщиков услуг удаленного администрирования и их клиентов. По данным исследователей, к 5 июля, через 4 дня после начала атаки, было зафиксировано более 5000 попыток взлома.
Команда GitHub Security провела аудит открытого ПО Fail2Ban, используемого для ограничения брутфорс-атак на серверы SSH. И не нашла каких-либо серьезных уязвимостей.
Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.
Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.
Microsoft выпустила новый патч для уязвимости PrintNightmare: Установите как можно скорее
PrintNightmare — уязвимость, которую Microsoft начала публично расследовать в июне. Она позволяет эксплуатировать незащищенные функции службы диспетчера очереди печати Windows для запуска удаленного выполнения кода с привилегиями «СИСТЕМА». Данной уязвимости был присвоен «высокий» рейтинг опасности, и Редмонд сразу же выпустил несколько рекомендаций и мер снижения рисков эксплуатации. Microsoft выпустила патч, который, как оказалось, можно обойти. Однако, сам Редмонд отмечал, что это происходит только тогда, когда пользователи используют неподдерживаемые значения реестра.
Сегодня, 10 августа 2021 года, Microsoft выпустила новый патч KB5005033, который изменяет стандартное поведение функции Point and Print в Windows, поскольку текущая реализация не отвечает требованиям безопасности. В дальнейшем для установки и обновления драйверов Point and Print потребуются права администратора. По сути, это означает, что все уязвимости, связанные со службой диспетчера очереди печати Windows, которые были публично задокументированы, теперь будут устранены.
Microsoft сообщает, что данное изменение негативно повлияет на пользователей, не являющихся администраторами, потому что ранее они могли устанавливать и обновлять эти драйверы. Однако в компании считают, что преимущества данных мер намного перевешивают это неудобство. Microsoft предупредила, что если администраторы не установят это обновление, то обслуживаемые устройства будут подвержены уязвимостям PrintNightmare. Нужно помнить, что PrintNightmare влияет практически на все версии Windows, поэтому важно, чтобы патч был установлен как можно скорее. Дополнительную информацию можно найти в бюллетене безопасности, посвященном CVE-2021-34481.