Microsoft adaugă un al doilea CVE pentru executarea codului la distanță pentru PrintNightmare

Ceea ce credeți că știți ca PrintNightmare, este posibil să nu fie la ce se referă Microsoft sau, din nou, poate fi.

În timpul săptămânii, PrintNightware, a Vulnerabilitate critică de securitate în spoolerul de imprimare Windows Cel care a permis executarea codului la distanță a fost cunoscut sub numele de CVE-2021-1675.

Exploit-ul a fost disponibil public după ce patch-urile Microsoft nu au reușit să rezolve complet problema, iar cercetătorii în securitate și-au publicat deja codul, au spus ei. sterge-l, dar era deja ramificat pe GitHub.

Pe scurt, dacă era o versiune acceptată de Windows, avea o gaură.

„Microsoft a abordat parțial această problemă în actualizarea sa la CVE-2021-1675. Sistemele Microsoft Windows care sunt configurate să fie controlere de domeniu și cele care au configurate Point și Print configurate cu opțiunea NoWarningNoElevationOnInstall sunt încă vulnerabile la atac”, CERT Coordination Center El a spus.

O sugestie de soluționare a fost dezactivarea serviciului Print Spooler.

O situație potențial rea a devenit mai complicată atunci când Microsoft a renunțat la un fișier CVE-2021-34527 Aviz de joi.

Există o vulnerabilitate la executarea codului la distanță atunci când serviciul Windows Print Spooler efectuează în mod incorect operațiuni de fișiere privilegiate. Un atacator care a exploatat cu succes această vulnerabilitate ar putea rula cod arbitrar cu privilegii de SISTEM. Atacatorul ar putea apoi să instaleze programe, să vizualizeze date sau să le modifice sau să le șteargă; sau în anunț se spunea „Creați conturi noi cu drepturi de utilizator complete”.

„Atacul trebuie să implice un utilizator autentificat care apelează RpcAddPrinterDriverEx ().”

Deci, acesta arată ca PrintNightmare, urmează aceeași funcționalitate și Microsoft spune că este același, dar nu este.

Iată întrebările frecvente complete postate de Microsoft.

Este această vulnerabilitate denumită public PrintNightmare?

Da, Microsoft a atribuit CVE-2021-34527 pentru această vulnerabilitate.

Este această vulnerabilitate legată de CVE-2021-1675?

Această vulnerabilitate este similară, dar distinctă de vulnerabilitatea mapată CVE-2021-1675, care abordează o vulnerabilitate diferită în RpcAddPrinterDriverEx (). Vectorul de atac este, de asemenea, diferit. CVE-2021-1675 a fost abordat prin actualizarea de securitate din iunie 2021.

Actualizarea din iunie 2021 a introdus această vulnerabilitate?

Nu, vulnerabilitatea a existat înainte de actualizarea de securitate din iunie 2021. Microsoft vă recomandă cu tărie să instalați actualizările din iunie 2021.

Ce roluri specifice sunt cunoscute a fi afectate de vulnerabilitate?

Controlerele de domeniu sunt afectate. Încă investigăm dacă au fost afectate și alte tipuri de roluri.

Toate versiunile de Windows sunt listate în tabelul de actualizări de securitate. Sunt toate versiunile exploatabile?

Codul care conține vulnerabilitatea este prezent în toate versiunile de Windows. Încă investigăm dacă toate versiunile sunt exploatabile. Vom actualiza CVE atunci când aceste informații sunt clare.

De ce nu a atribuit Microsoft un scor CVSS pentru această vulnerabilitate?

Încă investigăm problema, deci nu putem atribui un scor în acest moment.

De ce nu a fost determinată severitatea acestei vulnerabilități?

Încă cercetăm. Vom pune aceste informații la dispoziție în curând.

Prin urmare, din cauza unui vector de atac diferit, Microsoft a spart al doilea sistem CVE. O soluție sugerată este dezactivarea serviciului de spooler de imprimare sau dezactivarea imprimării de la distanță primite prin intermediul politicii de grup.

„Această politică va bloca vectorul de atac de la distanță prin prevenirea operațiunilor de imprimare de la distanță. Sistemul nu va mai funcționa ca un server de imprimare, dar imprimarea locală pe un dispozitiv conectat direct va fi totuși posibilă”, avertismentul atașat stării soluției.

la CVE-2021-1675, are un scor de bază CVSS 3 de 7,8, care este clar considerat de Microsoft deoarece nu există o secțiune de soluție.

„Aceasta este o situație în evoluție și vom actualiza CVE pe măsură ce vor fi disponibile mai multe informații”, a spus Microsoft. Fără îndoială că o vor face.

Acoperire conexă