Microsoft 8.jūnijā publicēja atjauninājumus Windows servisa “Print Spooler” (CVE-2021-1675) ievainojamībai, kas ļauj uzbrucējiem paaugstināt piekļuves tiesības (LPE), kā arī laterāli izplatīties Active Directory (AD) ietvaros.
Pārpratuma dēļ kāda kiberdrošības pētnieku grupa pagājušajā nedēļā publicēja potenciāla uzbrukuma piemēru, kas, viņuprāt, bija saistīts ar ievainojamības CVE-2021-1675 ekspluatāciju. Taču izrādījās, ka pētnieku grupa ir atklājusi citu, līdzīgu ievainojamību (CVE-2021-34527), kas skar to pašu Microsoft “Print Spooler” servisu. Jaunatklātajai ievainojamībai šobrīd vēl nav pieejami atjauninājumi, kas to padara par lielisku uzbrukuma mērķi.
Jaunatklātā ievainojamība nodēvēta par “PrintNightmare” un AD vidē šī ievainojamība ļauj jebkuram lietotājam iegūt SYSTEM līmeņa permīcijas uz DC (Domain Controller), tādēļ AD kontekstā tā vērtējama kā kritiska.
Šobrīd kā pagaidu risinājums tiek ieteikts atslēgt “Print Spooler” servisu uz domēna kontroliera un citām kritiskām sistēmām, kur šī funkcionalitāte nav nepieciešama. Kā arī sekot līdzi Microsoft paziņojumiem un jaunākajiem atjauninājumiem.
Instrukcija, kā to atslēgt: https://www.howto-connect.com/print-spooling-service-disable-enable-windows-10/
Microsoft brīdina, ka šī ievainojamība tiek aktīvi izmantota. Ievainojamība ļauj uzbrucējiem instalēt upuru datoros programmas, modificēt datus un izveidot jaunus kontus ar pilnām administratora tiesībām.
Microsoft atzīst, ka kods, kurā ir ievainojamība, ir visās Windows versijās, taču nav skaidrs, vai tas ir izmantojams ārpus Windows servera versijām. “Print Spooler” pakalpojums operētājsistēmā Windows darbojas pēc noklusējuma, tostarp arī OS klientu versijās, DC un daudzās Windows Server instancēs.
Plašāka informācija par ievainojamībām pieejama šeit:
Microsoft piedāvātais pagaidu risinājums CVE-2021-34527: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527