Комментарии 10
Так вот че они кривое выкатывали в нескольких последних обновлениях, из-за чего ломалась служба печати.
Интересно, почему сервис печати должен работать с правами SYSTEM? Что такого важно он делает, что ему не хватит доступа к сети, диску и локальным драйверам принтеров?
Это ведь уже не первая уязвимость в этой подсистеме. И я подозреваю что не последняя.
В случае с NotPetya проблема была не столько в том, что стороннее ПО работало с привилегиями системы, а с тем, что поголовно не было патчей MS17-010, которые опять же закрывают дыру в родной службе SMB.
На самом деле страшно становится если представить, что у нас ломанут сервер обновлений какого-нибудь СБИСа к примеру.
Бедный болезный спулер. И дырявый-то он, и вот уже 25 лет никак не научится дохлые документы из очереди удалять...
PS: Прикол. Пока писал комментарий, страница по линку перестала открываться — возвращается ошибка 404. Если кому-нибудь интересно, то вот:
Не обязательно расшаривать принтер в сеть, достаточно просто иметь спулер слушающий сеть, а это поведение по умолчанию. Поэтому они политикой предлагают отключить прослушивание сети на предмет клиентских запросов. Это логично, т.к. если спулер не будет слушать сеть, то не получится воспользоваться уязвимостью по сети. Но эта статья на сайте MS (я её тоже в пятницу изучил) оставляет ряд вопросов. Скажем они пишут, что если запретить клиентские сетевые подключения к спулеру, то вы сможете печатать только на локально подключённые принтеры. Т.е. печать на сетевые принтеры подключённые к другой машине тоже что ли отвалится (на той машине само собой мы подключения к спулеру не запрещаем)? Так-то если у нас в сети есть принтсервер(ы), то остальным машинам и нет надобности принимать клиентские подключения к спулеру. Не понятно, надо проверять (не успел пока).
Второй вопрос который вызвала статья: они почему-то написали, что уязвимости подвержены контроллеры домена, а остальное они мол пока изучают. А я так понял, что на любой машине можно код с правами системы запустить и с наличием на ней служб AD DS это не связано.
Кстати я проверил — блокирование сетевых запросов к спулеру не вызывает отвал печати на сетевые принтеры. Это ещё один вопрос к корректности формулировки. Так что если используется единый сервер печати, то можно блокировать сетевые запросы к спулеру на всём домене (кроме сервера печати конечно). И я считаю, что нужно это сделать в любом случае даже не смотря на то, что вчера вышел внеочередной секьюрити апдейт закрывающий эту дыру. Просто даже по принципу отключения всего, что не нужно. Да и смотря на историю дыр в спулере можно предположить, что эта далеко не последняя была.
Исследователи кибербезопасности случайно раскрыли детали уязвимости нулевого дня Windows — PrintNightmare