Эксперты по криптобезопасности сообщают, что радость от установки последнего обновления Windows Server, которая, якобы, устранила опасную уязвимость нулевого дня, получившую название Windows Server PrintNightmare, была преждевременной. Как выяснилось, эксплойт PrintNightmare, позволяющий поднимать привилегии через спулер очередей печати в корпоративных сетях, сохранил свою эффективность на компьютерах с полностью обновленными версиями Windows Server 2019. Его код позволяет злоумышленникам работать на зараженной машине с полными привилегиями, и эта опасность сохранилась до сих пор.
Эксплойт под названием PrintNightmare был случайно выпущен китайской компанией по безопасности Sangfor. Сообщается, что это произошло в результате ошибки разработчиков, которые посчитали, что код уже пропатчен Microsoft в выпущенном ранее обновлении на Microsoft на аналогичный эксплойт Print Spooler.
Because I know you love good videos with #mimikatz but also #printnightmare ( CVE-2021-1675 ?)
* Standard user to SYSTEM on remote domain controller *
Maybe Microsoft can explain some stuff about their fix ?
> For now, stop Spooler service
Thank you @_f0rgetting_ & @edwardzpeng pic.twitter.com/bJ3dkxN1fW— 🥝 Benjamin Delpy (@gentilkiwi) June 30, 2021
Речь идет о выпуске нового и еще не исправленного эксплойта нулевого дня, который появился в сети вместе с кодом Proof-of-Concept. Он предоставляет злоумышленникам полные права для удаленного выполнения кода на устройствах с работающим спулером печати Windows Print Spooler. Эта уязвимость уже была пропатчена соответствующим исправлением Microsoft, но затронула только более раннюю версию кода.
Немного успокаивает только то, что хакерам для проведения атаки требуется использовать определенные учетные данные для регистрации своей мошеннической сети. По ней можно выявить появление хакеров в корпоративной сети. В то же время эта подсеть может быть зарегистрирована с предоставлением ей низкого уровня привилегий, что не помешает в проведении атаки. Отмечается, что купить регистрационные данные для сети корпоративного уровня сейчас можно примерно за 3 доллара, поэтому это не будет препятствием для тех, кто захочет воспользоваться новым эксплойтом.
Сказанное означает, что корпоративные сети снова оказались чрезвычайно уязвимыми для атаки нулевого дня через спулер печати. В первую очередь, это касается появления программ-вымогателей. Поэтому исследователи безопасности рекомендуют компаниям временно отключать очереди печати Windows до выпуска нового обновления Microsoft или использовать дополнительные средства защиты для контроля их работы.
Рекомендации Microsoft для сисадминов (02/07/2021)
Ранее редакция THG.ru опубликовала обзор Aruba HPE InstantOn АР11 и AP11D. Линейка Aruba HPE InstantOn отлично подходит для создания беспроводной сети для малого бизнеса, отличаясь простотой реализации, не требующей особых знаний. В нашем материале мы расскажем об этой линейке и оценим возможности её младших представителей – Aruba HPE InstantOn АР11 и AP11D. Подробнее об этом читайте в статье “Обзор Aruba HPE InstantOn АР11 и AP11D: простое решение для беспроводной сети предприятия”.
