Уязвимость Windows PrintNightmare, похоже, еще не закрыта полностью. Хотя Microsoft недавно выпустила патч, злоумышленники могут получить права администратора на чужой системе и захватить ПК. Хак был разработан Бенджамином Делпи и опробован BleepingComputer. В тесте использовался ПК под управлением Windows 10 21H1. Установив скомпрометированный драйвер принтера, можно было получить доступ к компьютеру. Для этого изначально был настроен принт-сервер, доступный через Интернет. Управляемый драйвер, вызывающий файл DLL, стал доступным на сервере. DLL может вызвать оболочку с правами администратора.
Атака также работает, если пользователь вошел в систему с учетной записью без прав администратора. Обычные учетные записи также могут устанавливать драйверы с удаленного сервера печати. Затем драйверы запускаются как обычно с системными правами.
Бывшая уязвимость нулевого дня PrintNightmare была обнаружена в июне и дает хакерам возможность запустить вредоносный код на удаленном устройстве и получить привилегии. Спустя некоторое время Microsoft опубликовала обновление безопасности, которое должно было закрыть пробел. Однако в результате исследователи безопасности уже обнаружили, что в будущем исправление можно будет обойти при определенных условиях с небольшими усилиями.
Ведь вредоносный программный драйвер не остается незамеченным. Защитник Windows классифицирует программу как опасную и выдает соответствующее предупреждение. Однако инструмент изначально не препятствует установке и запуску драйвера.
Пока Microsoft не устранит проблему, пользователи могут прибегать к различным обходным путям для защиты своих компьютеров. Например, можно отключить службу диспетчера очереди печати Windows. Другая возможность — заблокировать трафик RPC и SMB в сети, чтобы предотвратить установку драйвера. Кроме того, групповая политика «Package Point and print — Approved servers» может быть настроена так, чтобы разрешать соединения только с определенными серверами печати.
Источник: