Η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση ασφαλείας για να διορθώσει τις τελευταίες εναπομένουσες ευπάθειες zero-day PrintNightmare που επέτρεψαν στους εισβολείς να αποκτήσουν γρήγορα δικαιώματα διαχειριστή σε συσκευές Windows.
Δείτε επίσης: Ο Firefox παρακάμπτει τις default browser ρυθμίσεις των Windows 11
Τον Ιούνιο, αποκαλύφθηκε κατά λάθος μια zero-day ευπάθεια print Windows, με την ονομασία PrintNightmare (CVE-2021-34527). Αυτή η ευπάθεια εκμεταλλεύεται τη δυνατότητα Windows Point και Print για να εκτελέσει απομακρυσμένη εκτέλεση κώδικα και να αποκτήσει τοπικά δικαιώματα SYSTEM.
Ενώ η Microsoft κυκλοφόρησε δύο ενημερώσεις ασφαλείας για να διορθώσει διάφορες ευπάθειες PrintNightmare, μια άλλη ευπάθεια που αποκαλύφθηκε δημοσίως από τον ερευνητή ασφάλειας Benjamin Delpy επέτρεψε στους απειλητικούς φορείς να αποκτήσουν γρήγορα προνόμια SYSTEM απλώς συνδέοντας έναν απομακρυσμένο print server.
Όπως αποδεικνύεται παρακάτω, η ευπάθεια του Delpy έκανε κατάχρηση της οδηγίας CopyFiles για αντιγραφή και εκτέλεση κακόβουλου DLL χρησιμοποιώντας προνόμια του SYSTEM όταν ένας χρήστης εγκατέστησε απομακρυσμένο εκτυπωτή. Μόλις το exploit εκκινήσει το DLL, θα ανοίξει ένα παράθυρο κονσόλας όπου όλες οι εντολές εκτελούνται με δικαιώματα SYSTEM.
Για να γίνουν τα πράγματα χειρότερα, συμμορίες ransomware, όπως το Vice Society, το Magniber και το Conti, άρχισαν να χρησιμοποιούν το σφάλμα για να αποκτήσουν αυξημένα προνόμια σε παραβιασμένες συσκευές.
Αυτή η εναπομένουσα ευπάθεια PrintNightmare αναφέρεται ως CVE-2021-36958 και αποδίδεται στον Victor Mata του FusionX, ο οποίος αποκάλυψε το σφάλμα ιδιωτικά στη Microsoft τον Δεκέμβριο του 2020.
Δείτε επίσης: Windows MSHTML zero-day: Exploits έχουν διαρρεύσει σε hacking forums
Νέα ενημέρωση ασφαλείας διορθώνει το σφάλμα PrintNightmare
Στις σημερινές ενημερωμένες εκδόσεις ασφαλείας του Σεπτεμβρίου 2021, η Microsoft κυκλοφόρησε μια νέα ενημέρωση ασφαλείας για το CVE-2021-36958 που διορθώνει την εναπομείνουσα ευπάθεια PrintNightmare.
Ο Delpy, ο οποίος δοκίμασε το exploit του στη νέα ενημέρωση ασφαλείας, επιβεβαίωσε στο BleepingComputer ότι το σφάλμα έχει πλέον διορθωθεί.
Εκτός από τη διόρθωση της ευπάθειας, ο Delpy είπε στο BleepingComputer ότι η Microsoft έχει απενεργοποιήσει τη λειτουργία CopyFiles από προεπιλογή και πρόσθεσε μια πολιτική ομάδας χωρίς έγγραφα που επιτρέπει στους διαχειριστές να την ενεργοποιήσουν ξανά.
Αυτή η πολιτική μπορεί να διαμορφωθεί στο μητρώο των Windows στο κλειδί HKLM\Software\Policies\Microsoft\Windows NT\Printers προσθέτοντας μια τιμή που ονομάζεται CopyFilesPolicy. Όταν οριστεί σε “1”, το CopyFiles θα ενεργοποιηθεί ξανά.
Ωστόσο, ακόμη και όταν είναι ενεργοποιημένη, ο Delpy είπε ότι θα επιτρέψει τη χρήση μόνο του αρχείου C:\Windows\System32\mscms.dll της Microsoft με αυτήν τη δυνατότητα.
Καθώς αυτή η αλλαγή θα επηρεάσει την προεπιλεγμένη συμπεριφορά των Windows, δεν είναι σαφές τι προβλήματα θα προκαλέσει κατά την εκτύπωση σε Windows.
Δείτε επίσης: Θα υποστηρίζουν τα Windows 11 εφαρμογές Android για το Xbox;
Η Microsoft μέχρι στιγμής δεν έχει δημοσιεύσει πληροφορίες για αυτήν τη νέα πολιτική και δεν είναι διαθέσιμη στον Group Policy Editor.
Πηγή πληροφοριών: bleepingcomputer.com
