Pomimo licznych prób Microsoftu aby pomyślnie załatać PrintNightmare, to jeszcze nie koniec. Teraz odkryto kolejną lukę w zabezpieczeniach bufora wydruku PrintNightmare w systemie Windows 10 i jest to przyciągając ransomware atakujących szukających łatwego dostępu do uprawnień systemowych.
Microsoft wydał wiele łatek w lipcu i sierpniu, usuwając lukę w zabezpieczeniach i dostosowując proces, dzięki któremu użytkownicy mogą instalować nowe sterowniki drukarki. Jednak badacze nadal znalazli obejście, aby przeprowadzić atak za pomocą nowszej luki bufora wydruku, nazwanej CVE-2021-36958.
Z post w Microsoft Security Response Center, Microsoft opisuje lukę: „Luka umożliwiająca zdalne wykonanie kodu występuje, gdy usługa buforu wydruku systemu Windows nieprawidłowo wykonuje uprzywilejowane operacje na plikach. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod z uprawnieniami SYSTEM. Atakujący może wówczas zainstalować programy; przeglądać, zmieniać lub usuwać dane; lub utwórz nowe konta z pełnymi prawami użytkownika”.
Microsoft wymienia również obejście luki jako „zatrzymanie i wyłączenie usługi bufora wydruku”. Atakujący będzie potrzebował uprawnień administratora, aby zainstalować niezbędne sterowniki drukarki; jeśli sterownik jest już zainstalowany, takie uprawnienia nie są jednak konieczne do podłączenia drukarki. Co więcej, nie jest wymagane instalowanie sterowników na klientach, więc luka pozostaje, no cóż, podatna na wszelkie przypadki, gdy użytkownik łączy się ze zdalną drukarką.
Atakujący ransomware oczywiście w pełni wykorzystują exploity, zgodnie z Bleeping Computer. Magniber, grupa zajmująca się oprogramowaniem ransomware, została niedawno zgłoszona przez CrowdStrike jako wykryta próbując wykorzystać niezałatane luki w zabezpieczeniach ofiar z Korei Południowej.
Nie ma jeszcze słowa — od Microsoftu lub innego miejsca — na temat tego, czy luka PrintNightmare jest w ogóle pod ręką. W rzeczywistości CrowdStrike szacuje, że luka PrintNightmare połączona z wdrożeniem oprogramowanie ransomware prawdopodobnie będzie nadal wykorzystywane przez innych cyberprzestępców”.
przez Centrum Windows
