18 июля 2021 00:27
Специалисты компании Microsoft предупредили об уязвимости, затрагивающей службу диспетчера очереди печати Windows Print Spooler.
Проблема ( CVE-2021-34481 ), получившая оценку в 7,8 балла по шкале CVSS, представляет собой уязвимость повышения локальных привилегий. Она связана с некорректным выполнением привилегированных файловых операций Windows Print Spooler.
Эксплуатация уязвимости позволяет запустить произвольный код с привилегиями SYSTEM на системе. Затем злоумышленник может устанавливать вредоносные программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами пользователя. Как отметили специалисты, для успешного использования уязвимости злоумышленник должен иметь возможность выполнять код на системе жертвы.
В качестве мер по предотвращению эксплуатации уязвимости Microsoft рекомендует пользователям отключить службу диспетчера очереди печати. Эксперты в настоящее время работают над устранением данной уязвимости.
Напомним, в начале июля нынешнего года Microsoft выпустила экстренное внеплановое обновление безопасности, исправляющее критическую уязвимость в сервисе печати Windows Print Spooler. Уязвимость ( CVE-2021-34527 ), получившая название PrintNightmare, позволяет удаленному атакующему захватывать контроль над уязвимыми системами. Проблема является популярной темой для обсуждения у ИБ-экспертов в течение последних нескольких недель. Впервые о ней заговорили после того, как Microsoft присвоила двум разным уязвимостям один идентификатор CVE ( CVE-2021-1675 ) и исправила только одну из них, менее опасную.
28 июня группа китайских исследователей опубликовала на GitHub свой PoC-эксплоит, будучи уверенными, что уязвимость исправлена. В течение нескольких часов PoC-эксплоит был удален – к тому времени исследователи поняли, что выпущенный Microsoft патч исправлял только один вектор атаки, предполагающий повышение привилегий. Проблема удаленного выполнения кода, позволяющая получить контроль над системой, по-прежнему оставалась неисправленной.
В итоге Microsoft признала удаленное выполнение кода отдельной уязвимостью и присвоила ей собственный идентификатор CVE. 6 июля компания выпустила исправление для нее.