Microsoft закрыла RCE вектор уязвимости PrintNightmare во многих версиях Windows

6 июля 2021 года Microsoft рассказала, что выпустила патч против критической уязвимости PrintNightmare (CVE-2021-34527) в службе диспетчера печати для всех поддерживаемых версий Windows, включая старые.

Уязвимость PrintNightmare включает в себя вектор удаленного выполнения кода (RCE) и локального повышения привилегий (LPE), который можно использовать в атаках для выполнения команд с привилегиями SYSTEM в уязвимой системе.

Предупреждение — текущие патчи от Microsoft не полностью устраняют уязвимость, так как ее еще можно использовать локально для получения привилегий уровня SYSTEM, устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с правами администратора.

Промежуточный патч против удаленного использования уязвимости PrintNightmare доступен для версий Windows:

  • KB5004945 — для Windows 10 версий 21H1, 20H1, 2004;
  • KB5004946 — для Windows 10 версии 1909;
  • KB5004947 — для Windows 10 версии 1809 и Windows Server 2019;
  • KB5004949 (еще в процессе выпуска) — для Windows 10 версии 1803;
  • KB5004950 — для Windows 10 версии 1507;
  • KB5004958 — для Windows 8.1 и Windows Server 2012;
  • KB5004951 — для Windows 7 SP1 и Windows Server 2008 R2 SP1;
  • KB5004959 — для Windows Server 2008 SP2.

Microsoft пообещала в скором времени выпустить патчи для Windows 10 версии 1607, Windows Server 2016 и Windows Server 2012.

После выхода патчей от Microsoft исследователь безопасности Мэтью Хики подтвердил, что они работают только против RCE вектора PrintNightmare.

Microsoft настоятельно рекомендует системным администраторам и пользователям немедленно установить эти обновления безопасности.

1 июля 2021 года Microsoft предупредила системных администраторов о критической уязвимости нулевого дня, позволяющей удаленно выполнить зловредный код в системе, в службе диспетчера печати всех текущих поддерживаемых версий Windows и настоятельно попросила их отключить службу диспетчера очереди печати Windows (spoolsv.exe) на контроллерах домена и хостах, не связанных с печатью, например, в PowerShell под администратором запустить команды «Stop-Service -Name Spooler -Force» и «Set-Service -Name Spooler -StartupType Disabled».

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»