Исследователи кибербезопасности случайно раскрыли детали уязвимости нулевого дня Windows — PrintNightmare

[tbl]

Так вот че они кривое выкатывали в нескольких последних обновлениях, из-за чего ломалась служба печати.

[lorc]

Интересно, почему сервис печати должен работать с правами SYSTEM? Что такого важно он делает, что ему не хватит доступа к сети, диску и локальным драйверам принтеров?

Это ведь уже не первая уязвимость в этой подсистеме. И я подозреваю что не последняя.

[Mur81]

Это ещё что, спулер это хоть «родная» служба. А как вам практика когда стороннее ПО ставит свои службы обновления, которые так же работают с правами системы и качают хрен пойми что и хрен пойми откуда и запускают это тоже с правами системы соответственно (вспоминается история с NotPetya в Украине).

[Trunclukator]

В случае с NotPetya проблема была не столько в том, что стороннее ПО работало с привилегиями системы, а с тем, что поголовно не было патчей MS17-010, которые опять же закрывают дыру в родной службе SMB.

[Mur81]

Если я правильно всё помню, то первоначальное проникновение за периметр было через взломанный сервер обновлений какой-то украинской системы ЭДО. Дальше в принципе уже не столь важно.
На самом деле страшно становится если представить, что у нас ломанут сервер обновлений какого-нибудь СБИСа к примеру.

[ioccy]

Бедный болезный спулер. И дырявый-то он, и вот уже 25 лет никак не научится дохлые документы из очереди удалять...

[jok40]

Почитал сейчас описание на сайте Микрософт. Судя по разделу Workaround, эта уязвимость грозит только тем, у кого компьютер работает как принтсервер — расшаривает принтер в сеть. Потому что для решения проблемы предлагается либо отключить службу принтспулера, либо запретить подключение сетевых клиентов к принтспулеру через политику безопасности.

PS: Прикол. Пока писал комментарий, страница по линку перестала открываться — возвращается ошибка 404. Если кому-нибудь интересно, то вот:

скриншот страницы с разделом Workaround с сайта Микрософт

[Mur81]

Не обязательно расшаривать принтер в сеть, достаточно просто иметь спулер слушающий сеть, а это поведение по умолчанию. Поэтому они политикой предлагают отключить прослушивание сети на предмет клиентских запросов. Это логично, т.к. если спулер не будет слушать сеть, то не получится воспользоваться уязвимостью по сети. Но эта статья на сайте MS (я её тоже в пятницу изучил) оставляет ряд вопросов. Скажем они пишут, что если запретить клиентские сетевые подключения к спулеру, то вы сможете печатать только на локально подключённые принтеры. Т.е. печать на сетевые принтеры подключённые к другой машине тоже что ли отвалится (на той машине само собой мы подключения к спулеру не запрещаем)? Так-то если у нас в сети есть принтсервер(ы), то остальным машинам и нет надобности принимать клиентские подключения к спулеру. Не понятно, надо проверять (не успел пока).

Второй вопрос который вызвала статья: они почему-то написали, что уязвимости подвержены контроллеры домена, а остальное они мол пока изучают. А я так понял, что на любой машине можно код с правами системы запустить и с наличием на ней служб AD DS это не связано.

[PlintuZz]

предполагаю что про АД пишут, тк в большинстве случаев получив права локального админа, можно сделать много чего но не все, а вот получив парва доменного админа ты царь и бог, и можешь к примеру закриптовать всю сеть.

[Mur81]

Верно. Но такая формулировка создаёт ложное ощущение, что можно отключить спулер на контроллерах и забыть про эту проблему, а это не так. Права локального админа конечно не так опасны как доменного, но тоже позволяют сделать много нехорошего в том числе и перехватить пароль доменного админа (mimikatz'ом например).
Кстати я проверил — блокирование сетевых запросов к спулеру не вызывает отвал печати на сетевые принтеры. Это ещё один вопрос к корректности формулировки. Так что если используется единый сервер печати, то можно блокировать сетевые запросы к спулеру на всём домене (кроме сервера печати конечно). И я считаю, что нужно это сделать в любом случае даже не смотря на то, что вчера вышел внеочередной секьюрити апдейт закрывающий эту дыру. Просто даже по принципу отключения всего, что не нужно. Да и смотря на историю дыр в спулере можно предположить, что эта далеко не последняя была.