PrintNightmare — уязвимость в диспетчере очереди печати

❗ Срочно установите обновления Windows, закрывающие уязвимости CVE-2021-1675 и CVE-2021-34527 в сервисе Windows Print Spooler.
В конце июня исследователи по безопасности начали активно обсуждать уязвимость в диспетчере очереди печати Windows (Print Spooler), получившую название PrintNightmare. Изначально предполагалось, что июньский патч от Microsoft избавляет от этой проблемы. Однако сейчас стало очевидно, что на самом деле речь идет о двух уязвимостях — CVE-2021-1675 и CVE-2021-34527, и заплатка помогает только против первой. При этом потенциально злоумышленники могут использовать их для захвата контроля над любым сервером или компьютером на базе Windows, поскольку диспетчер очереди печати включен по умолчанию на всех системах. Microsoft официально относит название PrintNightmare только ко второй уязвимости, но во многих источниках обе проходят под одним кодовым именем.
❗ Что за уязвимости и чем чревата их эксплуатация
CVE-2021-1675 относится к классу уязвимостей эскалации привилегий. Благодаря ей атакующий с правами обычного пользователя может применить специально созданный вредоносный DLL-файл, чтобы запустить эксплойт. Но для эксплуатации ему уже необходимо находиться на уязвимой машине. Microsoft расценивает вероятность ее эксплуатации как достаточно низкую. CVE-2021-34527 гораздо опаснее: это уязвимость удаленного исполнения кода (RCE). Принцип тот же, но благодаря ей злоумышленники могут подсунуть вредоносную библиотеку удаленно. По данным Microsoft, злоумышленники уже эксплуатируют эту уязвимость.
Злоумышленники могут использовать PrintNightmare для доступа к данным, хранящимся в корпоративной инфраструктуре, и, как следствие, для атак при помощи шифровальщиков-вымогателей.
❗ Как обезопасить свою инфраструктуру от PrintNightmare
Для начала необходимо срочно поставить патчи от Microsoft: июньский ( https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675 ), закрывающий уязвимость CVE-2021-1675, и, самое главное, июльский ( https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527 ), который позволяет обезопасить систему от CVE-2021-34527. Если по каким-то причинам вы не можете установить эти патчи, Microsoft предлагает два варианта обходных маневров (доступны по той же ссылке, что и патч), один из которых даже не требует отключения диспетчера очереди печати.
Тем не менее стоит подумать о том, чтобы в принципе отключить сервис диспетчера очереди печати на машинах, которым он наверняка не нужен. В частности, серверам, на которых работают контроллеры доменов, — сомнительно, что кому-то нужно печатать с них что-либо. https://triline.ru/novosti-i-akcii/item/871-printnightmare-uyazvimost-v-dispetchere-ocheredi-pechati