Ο exploit code του Proof-of-concept δημοσιεύτηκε στο διαδίκτυο σήμερα για μια ευπάθεια στην υπηρεσία Windows Print Spooler που μπορεί να επιτρέψει μια πλήρη παραβίαση των συστημάτων των Windows.
Η ευπάθεια CVE-2021-1675 επιδιορθώθηκε στις αρχές του μήνα στις ενημερώσεις ασφαλείας της Microsoft June 2021 Patch Tuesday.
Η ευπάθεια επηρεάζει το Print Spooler (spoolsv.exe), μια υπηρεσία Windows που χρησιμεύει ως generic universal interface μεταξύ του λειτουργικού συστήματος Windows, εφαρμογών και τοπικών ή δικτυωμένων εκτυπωτών, επιτρέποντας στους προγραμματιστές εφαρμογών να ξεκινήσουν εύκολα εργασίες εκτύπωσης.
Δείτε επίσης: Update KB5004760 στα Windows 10: Διορθώνει το πρόβλημα ανοίγματος PDF
Η υπηρεσία έχει συμπεριληφθεί στα Windows από τη δεκαετία του ’90 και είναι μία από τις πιο πολύπλοκες διαδικασίες του λειτουργικού συστήματος, με πολλές ευπάθειες να ανακαλύπτονται κατά τη διάρκεια των ετών, συμπεριλαμβανομένων σφαλμάτων όπως το PrintDemon, FaxHell, Evil Printer, CVE-2020-1337, και ακόμη και μερικές zero-days που χρησιμοποιούνται στις επιθέσεις Stuxnet.
Το CVE-2021-1675, το τελευταίο σε αυτήν τη μεγάλη σειρά σφαλμάτων Print Spooler, και ανακαλύφθηκε αρχικά από ερευνητές ασφαλείας από την Tencent Security, AFINE και NSFOCUS νωρίτερα αυτό το έτος.
Δείτε επίσης: Windows 11: Πώς να ελέγξετε αν το PC σας μπορεί να εκτελέσει το νέο OS
Μια ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα
Το σφάλμα αρχικά κατηγοριοποιήθηκε ως ευπάθεια χαμηλού επιπέδου σημασίας αύξησης προνομίων που επέτρεψε στους εισβολείς να αποκτήσουν δικαιώματα διαχειριστή, αλλά την περασμένη εβδομάδα, η Microsoft ενημέρωσε την περιγραφή του σφάλματος για να ταξινομήσει το CVE-2021-1675 ως ζήτημα εκτέλεσης απομακρυσμένου κώδικα που θα μπορούσε να αξιοποιηθεί απομακρυσμένα για να επιτρέψει στους εισβολείς να πάρουν τον πλήρη έλεγχο των unpatched συστημάτων των Windows.
Αρχικά, κανένας τεχνικός κώδικας σύνταξης ή proof-of-concept δεν δημοσιεύτηκε για το CVE-2021-1675, πράγμα που σημαίνει ότι οι εισβολείς που ήθελαν να κάνουν κατάχρηση αυτού του σφάλματος έπρεπε να ερευνήσουν οι ίδιοι τον patch code και να δημιουργήσουν ένα exploit εάν ήθελαν να ενσωματώσουν αυτό το σφάλμα στις επιθέσεις τους.
Την περασμένη εβδομάδα, η κινεζική εταιρεία ασφαλείας QiAnXin δημοσίευσε ένα GIF χαμηλής ποιότητας που δείχνει ένα exploit για το σφάλμα CVE-2021-1675 για πρώτη φορά, αλλά η εταιρεία δεν δημοσίευσε τεχνικές λεπτομέρειες ή ένα λειτουργικό PoC έτσι ώστε να επιτρέψει στους χρήστες να εφαρμόσουν τις ενημερώσεις ασφαλείας αυτού του μήνα και να προστατεύσουν τα συστήματά τους.
Ωστόσο, σε ό, τι φαίνεται να ήταν ατύχημα, μια εις βάθος τεχνική αποτύπωση και ένα πλήρως λειτουργικό PoC exploit κοινοποιήθηκαν στο GitHub νωρίτερα σήμερα.
Το repo GitHub αποσύρθηκε μετά από μερικές ώρες αλλά κάποιοι άλλοι χρήστες πρόλαβαν να το κλωνοποιήσουν από πολλούς άλλους χρήστες.
Η ανάλυση που έκαναν οι τρεις αναλυτές από την κινεζική εταιρεία ασφαλείας Sangfor, περιγράφει λεπτομερώς πώς οι τρεις αναλυτές ανακάλυψαν το σφάλμα ανεξάρτητα από τις ομάδες που ανέφεραν την ευπάθεια στη Microsoft.
Δείτε επίσης: Τα Windows 11 έρχονται, ο Internet Explorer φεύγει!
Ένα θέμα ευπάθειας με κωδικό όνομα PrintNightmare
Δεδομένου ότι η ευπάθεια CVE-2021-1675, την οποία η ομάδα Sangfor ονόμασε PrintNightmare, έχει αναθεωρηθεί από τη Microsoft σε ένα φορέα επίθεσης RCE και ο κώδικας εκμετάλλευσης PoC βρίσκεται πλέον σε δημόσιο domain, συνιστάται στις εταιρείες να ενημερώσουν τα Windows fleets τους το συντομότερο δυνατό.
Αξίζει να σημειωθεί ότι η ευπάθεια επηρεάζει όλες τις διαθέσιμες εκδόσεις λειτουργικών συστημάτων των Windows σήμερα και μπορεί ακόμη και να επηρεάσει τις καταργημένες εκδόσεις των Windows, όπως τα XP και Vista.
Δεδομένου ότι τα σφάλματα Print Spooler έχουν χρησιμοποιηθεί κατά το παρελθόν σε επιθέσεις, οι πιθανότητες είναι πολύ μεγάλες ότι αυτό το σφάλμα θα μπορούσε να χρησιμοποιηθεί και, ειδικά επειδή είναι ένα RCE, μια κατηγορία ευπάθειας που χρησιμοποιείται από τους περισσότερους εισβολείς.
Προετοιμασία για πιθανές μελλοντικές καταχρήσεις, ο Florian Roth της Nextron Systems κυκλοφόρησε τους κανόνες Sigma για τον εντοπισμό της εκμετάλλευσης PrintNightmare.
Πηγή πληροφοριών: therecord.media
