6 июля 2021 года Microsoft рассказала, что выпустила патч против критической уязвимости PrintNightmare (CVE-2021-34527) в службе диспетчера печати для всех поддерживаемых версий Windows, включая старые.
Уязвимость PrintNightmare включает в себя вектор удаленного выполнения кода (RCE) и локального повышения привилегий (LPE), который можно использовать в атаках для выполнения команд с привилегиями SYSTEM в уязвимой системе.
Предупреждение — текущие патчи от Microsoft не полностью устраняют уязвимость, так как ее еще можно использовать локально для получения привилегий уровня SYSTEM, устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с правами администратора.
Промежуточный патч против удаленного использования уязвимости PrintNightmare доступен для версий Windows:
- KB5004945 — для Windows 10 версий 21H1, 20H1, 2004;
- KB5004946 — для Windows 10 версии 1909;
- KB5004947 — для Windows 10 версии 1809 и Windows Server 2019;
- KB5004949 (еще в процессе выпуска) — для Windows 10 версии 1803;
- KB5004950 — для Windows 10 версии 1507;
- KB5004958 — для Windows 8.1 и Windows Server 2012;
- KB5004951 — для Windows 7 SP1 и Windows Server 2008 R2 SP1;
- KB5004959 — для Windows Server 2008 SP2.
Microsoft пообещала в скором времени выпустить патчи для Windows 10 версии 1607, Windows Server 2016 и Windows Server 2012.
После выхода патчей от Microsoft исследователь безопасности Мэтью Хики подтвердил, что они работают только против RCE вектора PrintNightmare.
Microsoft настоятельно рекомендует системным администраторам и пользователям немедленно установить эти обновления безопасности.
1 июля 2021 года Microsoft предупредила системных администраторов о критической уязвимости нулевого дня, позволяющей удаленно выполнить зловредный код в системе, в службе диспетчера печати всех текущих поддерживаемых версий Windows и настоятельно попросила их отключить службу диспетчера очереди печати Windows (spoolsv.exe) на контроллерах домена и хостах, не связанных с печатью, например, в PowerShell под администратором запустить команды «Stop-Service -Name Spooler -Force» и «Set-Service -Name Spooler -StartupType Disabled».
