Microsoft wydał awaryjną aktualizację zabezpieczeń o numerze KB5004945, która „usuwa” aktywnie wykorzystywaną lukę zeroday o nazwie „PrintNightmare” w usłudze buforowania wydruku systemu Windows. Podatność ma wpływ na wszystkie wersje systemu Windows. Niestety łatka jest niekompletna, a luka nadal może być wykorzystywana do lokalnej exploitacji (LPE) w celu uzyskania najwyższych uprawnień (SYSTEM) do Windows.

Błąd zdalnego wykonania kodu (śledzony jako CVE-2021-34527) pozwala atakującym przejąć serwery za pomocą zdalnego wykonania kodu (RCE) z uprawnieniami SYSTEM. Dzięki temu może im umożliwić instalowanie programów, przeglądanie, zmienianie lub usuwanie danych oraz tworzenie nowych kont z pełnymi uprawnieniami administracyjnymi.

Szczegóły dotyczące łatek znajdziecie na końcu artykułu.


Problemy z działaniem łatek

Luka PrintNightmare obejmuje zarówno zdalne wykonanie kodu (RCE), jak i lokalny wektor eskalacji uprawnień (LPE), które mogą być wykorzystywane w atakach do uruchamiania poleceń z uprawnieniami SYSTEM.

Po wydaniu przez Microsoft (poza oficjalnym programem) aktualizacji, badacz bezpieczeństwa Matthew Hickey sprawdził, że poprawka naprawia tylko komponent RCE, a nie LPE.
Oznacza to, że poprawka jest niekompletna, a cyberprzestępcy i złośliwe oprogramowanie nadal mogą lokalnie wykorzystywać tę lukę.

Zaś Benjamin Delpy, twórca mimikatz twierdzi na swoim blogu, że udało mu się przeprowadzić poprawnie exploitację zdalną (RCE) oraz lokalną (LPE) także na w pełni zaktualizowanym systemie Windows z włączoną usługą Point&Print .


Środki zaradcze

Microsoft zachęca klientów do natychmiastowego zainstalowania wydanych poza oficjalnym programem aktualizacji zabezpieczeń aby usunąć luki w zabezpieczeniach PrintNightmare.

Zalecamy zapoznanie się sekcjami „FAQ” i „Workaround” w opublikowanym przez Microsoft poradniku bezpieczeństwa CVE-2021-34527 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527. Znajdują się w nim informacje o tym, jak chronić swoje systemy przed atakami wykorzystującymi opisywaną lukę. Opisano „opcje łagodzenia” obejmujące:

  • wyłączenie usługi Bufora wydruku w celu usunięcia możliwości drukowania lokalnie i zdalnie
  • lub wyłączenie „zdalnego drukowania” za pomocą zasad grupy (GPO) w celu usunięcia wektora ataku zdalnego poprzez zablokowanie przychodzących operacji drukowania zdalnego.
W drugim przypadku Microsoft twierdzi, że „system nie będzie już funkcjonował jako serwer wydruku, ale nadal będzie możliwe drukowanie lokalne na bezpośrednio podłączonym urządzeniu”.
CISA opublikowała również w zeszłym tygodniu powiadomienie na temat PrintNightmare zachęcając administratorów do wyłączenia usługi buforowania wydruku systemu Windows na serwerach nieużywanych do drukowania.


Skaner do wykrywania podatnych hostów Windows

W sieci możecie znaleźć i pobrać skaner napisany e Pythonie, umożliwiający skanowanie całych podsieci w poszukiwaniu PrintNightmare RCE (nie LPE) oraz umożliwiający wygenerowanie wyniki w raporcie CSV. Skaner testuje możliwości wykorzystania podatności przez protokoły MS-PAR i MS-RPRN.

Znaleźliśmy też skrypt w PowerShell do mitygacji exploita PrintNightmare.


Łatki od Microsoft

Szczegółowe instrukcje dotyczące instalowania awaryjnych łatek dla różnych wersji systemu operacyjnego Windows dostępne są w dokumentach pomocy technicznej, do których linki znajdują się poniżej:

Aktualizacje zabezpieczeń nie zostały jeszcze wydane dla systemu Windows 10 w wersji 1607, Windows Server 2016 lub Windows Server 2012, ale według Microsoft zostaną one również wkrótce wydane. Jak twierdzi Microsoft:
„Aktualizacje dla pozostałych obsługiwanych wersji systemu Windows, których dotyczy problem, zostaną wydane w najbliższych dniach”.

Podziel się z innymi tym artykułem!