Η Microsoft προειδοποιεί για μια νέα zero-day ευπάθεια στην υπηρεσία Windows Print Spooler, η οποία μπορεί να δώσει δικαιώματα διαχειριστή σε έναν υπολογιστή Windows, μέσω ενός απομακρυσμένου server που βρίσκεται υπό τον έλεγχο του εισβολέα.
Τον περασμένο μήνα, ένας ερευνητής ασφαλείας αποκάλυψε κατά λάθος μια zero-day ευπάθεια στο Windows Print Spooler, γνωστή ως “PrintNightmare”, την οποία η Microsoft παρακολουθεί ως CVE-2021-34527. Η εκμετάλλευση αυτής της ευπάθειας επιτρέπει σε έναν κακόβουλο παράγοντα να αυξήσει τα δικαιώματα σε μια συσκευή ή να εκτελέσει κώδικα απομακρυσμένα.
Η Microsoft κυκλοφόρησε μια ενημέρωση ασφαλείας για να διορθώσει την ευπάθεια, αλλά οι ερευνητές διαπίστωσαν ότι το patch θα μπορούσε να παρακαμφθεί υπό ορισμένες συνθήκες.
Διαβάστε επίσης: Microsoft Patch Tuesday Ιουλίου 2021: Διορθώνει 117 ευπάθειες
Μετά την ατελή επιδιόρθωση, οι ερευνητές ασφαλείας διερεύνησαν σε μεγάλο βαθμό τα Windows printing APIs και βρήκαν περαιτέρω ευπάθειες που επηρεάζουν το Windows Print Spooler.
Ο Benjamin Delpy, ερευνητής ασφαλείας και δημιουργός του Mimikatz, αποκάλυψε δημόσια μια νέα zero-day ευπάθεια, η οποία επιτρέπει σε έναν κακόβουλο παράγοντα να αποκτήσει εύκολα προνόμια SYSTEM σε έναν υπολογιστή Windows, μέσω ενός απομακρυσμένου server εκτύπωσης που βρίσκεται υπό τον έλεγχό του.
Η Microsoft δήλωσε τα ακόλουθα: «Υπάρχει μια αύξηση της ευπάθειας δικαιωμάτων όταν η υπηρεσία Windows Print Spooler εκτελεί εσφαλμένα λειτουργίες προνομιούχων αρχείων. Ένας εισβολέας που θα εκμεταλλευτεί επιτυχώς αυτήν την ευπάθεια, θα μπορούσε να εκτελέσει αυθαίρετα κώδικα με προνόμια SYSTEM. Στη συνέχεια, θα μπορούσε να εγκαταστήσει προγράμματα, να προβάλει, να τροποποιήσει ή να διαγράψει δεδομένα ή να δημιουργήσει νέους λογαριασμούς με πλήρη δικαιώματα χρήστη.»
Δείτε ακόμη: Η Microsoft διορθώνει ζητήματα εκτύπωσης στα Windows 10
Επιπλέον, ο Delpy δήλωσε στο BleepingComputer ότι η εκμετάλλευση της εν λόγω ευπάθειας χρησιμοποιεί το feature “Queue-Specific Files” της δυνατότητας Windows Point and Print για αυτόματη λήψη και εκτέλεση κακόβουλου DLL, όταν ένας client συνδέεται σε server εκτύπωσης που βρίσκεται υπό τον έλεγχο του εισβολέα.
Πρόταση: Διέρρευσε καταλάθος PoC exploit για bug στο Windows Print Spooler
Αυτό που καθιστά αυτήν την ευπάθεια τόσο επικίνδυνη, είναι ότι επηρεάζει όλες τις τρέχουσες εκδόσεις των Windows και επιτρέπει σε έναν κακόβουλο παράγοντα να αποκτήσει περιορισμένη πρόσβαση σε ένα δίκτυο και να επιτύχει άμεσα προνόμια SYSTEM στην ευάλωτη συσκευή. Χρησιμοποιώντας αυτήν την πρόσβαση, ο κακόβουλος παράγοντας μπορεί να εξαπλωθεί πλευρικά στο δίκτυο, έως ότου αποκτήσει πρόσβαση σε έναν ελεγκτή domain.
Μέχρι η Microsoft να κυκλοφορήσει την ενημερωμένη έκδοση, η μόνη άμυνα έναντι αυτής της ευπάθειας είναι οι χρήστες να απενεργοποιήσουν το Windows Print Spooler.
