Microsoft pospieszył się z wydaniem poprawki do niedawno odkrytej luki PrintNightmare, wprowadzając ją jako obowiązkową aktualizację bezpieczeństwa dla kilku wersji systemu Windows. Mimo że poprawka wzmocniła ochronę dzięki dodaniu wymogu podania danych uwierzytelniających administratora podczas instalacji niepodpisanych sterowników drukarek na serwerach druku, to i tak nie zabezpiecza to przed atakiem. Pewien badacz bezpieczeństwa i programista odwrócił działanie biblioteki DLL systemu Windows w celu ominięcia kontroli Microsoftu dla zdalnych bibliotek i był w stanie wykorzystać w pełni załatany serwer. Tym samym gdyby PrintNightmare było horrorem, to dostalibyśmy właśnie zapowiedź drugiej części.
PrintNightmare powraca
PrintNightmare pozwala cyberprzestępcy na wykorzystanie luki w usłudze Windows Printer Spooler i wykonanie dowolnych poleceń z podwyższonymi uprawnieniami. Microsoft szybko załatał krytyczną lukę — występującą we wszystkich wersjach systemu Windows — za pomocą aktualizacji bezpieczeństwa. Jednak teraz wygląda na to, że exploit może stać się prawdziwym koszmarem dla Microsoftu i administratorów IT, po tym jak zademonstrowano, jak można obejść poprawkę i pozostawić w pełni załatany serwer podatny na PrintNightmare. Benjamin Delpy, badacz bezpieczeństwa i twórca narzędzia bezpieczeństwa Mimikatz, zauważa, że Microsoft stosuje sprawdzanie „\” w formacie nazwy pliku, aby określić, czy biblioteka jest zdalna, czy nie. Można ją jednak obejść za pomocą UNC, co pozwoliło Delpyemu na uruchomienie exploita na w pełni załatanym systemie Windows Server 2019 z włączoną usługą Point and Print.
Zobacz też: Zacny wynik Microsoft Edge. Nowości napędzają użytkowników, a Ciebie?
Badacz zauważa również, że użycie technologii Point and Print osłabia lokalną postawę bezpieczeństwa. Połączenie obejścia UNC i PoC potencjalnie pozostawia atakującym miejsce na wyrządzenie powszechnych szkód. Specjalista opisał problem jako dziwactwo ze strony Microsoftu, zauważając przy tym, że wierzy, iż firma nie przetestowała poprawki na poważnie. Nie wiadomo jeszcze kiedy Microsoft będzie w stanie na stałe załatać PrintNightmare, który już zaczął zakłócać przepływ pracy w organizacjach na całym świecie. Już teraz wiele instytucji i firm zaczęło wyłączać drukowanie w sieci lokalnej. Natomiast te, które nie mają drukarek, upewniają się, że opcja ta nie jest aktywna.
Źródło: TechSpot