Menu kategorii
  • Patch od Microsoftu nie chroni skutecznie przed PrintNightmare

    Patch od Microsoftu nie chroni skutecznie przed PrintNightmare

     Krzysztof Sulikowski
    Krzysztof Sulikowski
    14:01
    09.07.2021
    1658 wyświetleń

    Przed paroma dniami Microsoft zaczął udostępnianie łatki krytycznej podatności PrintNightmare, która ma na celu zablokowanie możliwości ataku exploitem. Podatność uznawana jest za krytyczną i pozwala atakującym na zdalne wykonanie kodu na komputerze ofiary. Po wydaniu patcha hakerzy szybko zaczęli udowadniać, że jest on kompletnie nieskuteczny. Spotkało się to z odpowiedzią Microsoftu, jednak ona też została podana w wątpliwość.

    Luka w usłudze Windows Print Spooler, oznaczona identyfikatorem CVE-2021-34527, ma najwyższy stopień "dotkliwości", a co za tym idzie, Microsoft nie czekał z wydaniem łatki do lipcowego Patch Tuesday. Pośpiech jest więc uzasadniony, tyle że patch jest nieskuteczny. Jak udowadniają badacze zabezpieczeń, wprowadzone środki zapobiegawcze można całkowicie obejść. Zostało to pokazane na przykładzie w pełni załatanych systemów, w których możliwe jest wykonanie RCE i LPE.

    Biorąc pod uwagę, że ta podatność zero-day i jej exploity są powszechnie udostępniane "in the wild", systemy z aktywną usługą Print Spooler są narażone na przejęcie. Najlepszą opcją na zabezpieczenie systemu jest więc ręczne wyłączenie usługi albo zablokowanie przychodzącego drukowania zdalnego poprzez zasadę grupy. Microsoft podał, że w tym celu należy upewnić się, że następujące ustawienia rejestru są ustawione na "0" lub są niezdefiniowane:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
    • NoWarningNoElevationOnInstall = 0 (DWORD) lub niezdefiniowane (ustawienie domyślne)
    • NoWarningNoElevationOnUpdate = 0 (DWORD) lub niezdefiniowane (ustawienie domyślne)

    Co ciekawe, badacz zabezpieczeń z CERT, Will Dormann, twierdzi, że drugie z powyższych ustawień wcale nie zapobiega możliwości wykorzystania luki:

    A co na to wszystko Microsoft? Twierdzi on, że jego dochodzenie pokazało, iż aktualizacja zabezpieczeń OOB [poza zakresem] działa zgodnie z tym, jak została zaprojektowana oraz że wszystkie zbadane raporty opierały się na zmianie domyślnego ustawienia rejestru związanego z Point and Print, prowadzącej do niebezpiecznej konfiguracji. Innymi słowy Microsoft umywa ręce i sugeruje, że to użytkownicy korzystają z Windows w nieodpowiedni sposób, który umożliwia atak exploitem.

    Jak widać, problem nie został do końca rozwiązany i dyskusja Microsoftu z badaczami zabezpieczeń pewnie jeszcze trochę potrwa. Ci drudzy na pewno nie dadzą za wygraną i będą podważać naniesione poprawki. I bardzo dobrze, bo zmusi to producenta do przyjrzenia się wszystkim wyjątkom. Pytanie tylko, czy weźmie je pod uwagę, czy dalej będzie się tłumaczył tak, jak w cytatach powyżej...


    Spodobał Ci się ten artykuł? Podziel się z innymi!

    Źródło: https://www.neowin.net/news/microsoft-our-printnightmare-patch-is-effective-youre-just-using-windows-wrong/

    Polecamy również w kategorii Windows 10