1 июля 2021 года Microsoft предупредила системных администраторов о критической уязвимости нулевого дня CVE-2021-34527 в службе диспетчера печати всех текущих поддерживаемых версий Windows.
Эксплойт по этой уязвимости был случайно опубликован ИБ-исследователями из компании Sangfor до выхода официального патча. Они подумали, что Microsoft в июньских патчах закрыла эту проблему, так как их эксплойт был для уязвимости CVE-2021-1675. Оказалось, что нет, и они случайно опубликовали боевой эксплойт на уязвимость нулевого дня.
Пример применения эксплойта для уязвимости PrintNightmare.
Проблема получила название PrintNightmare. Уязвимость позволяет злоумышленнику получить полный контроль над атакованной системой через диспетчер очереди печати Windows. Microsoft настоятельно просит системных администраторов отключить службу диспетчера очереди печати Windows (spoolsv.exe) на контроллерах домена и хостах, не связанных с печатью.
Такая путаница с уязвимостями произошла из-за того, что в начале июня Microsoft действительно выпустила патч для критической уязвимости PrintNightmare (CVE-2021-1675) в диспетчере очереди печати Windows Print Spooler. Используя эту уязвимость злоумышленники могли повысить свои привилегии в системе до уровня администратора. Но некоторое время спустя компания обновила описание уязвимости (она стала уязвимостью, позволяющей удаленно выполнить зловредный код в системе) и классифицировала ее как новую с CVE-2021-34527.
Microsoft сейчас занимается подготовкой патча против фактически второй за месяц критической уязвимости в диспетчере очереди печати Windows.
Специалисты ИБ-компании Rapid7 подтвердили, что уже есть эксплоиты по этим уязвимостям для Windows Server 2019 и других серверных версий Windows, что делает многие корпоративные сервера, а особенно контроллеры доменов, уязвимыми к атакам злоумышленниками, если они смогут проникнуть удаленно в сеть предприятия. Единственный выход на данный момент — отключить службу диспетчера очереди печати на всех серверах, где это возможно.
