Technológia

A PrintNightmare kíséri a Microsoftot, mivel a javítás hiányozhat

A Microsoft kiadott egy ritka sávon kívüli javítást július 7-én az úgynevezett PrintNightmare sebezhetőség kijavítására, de úgy tűnik, hogy nem sikerült megoldania a Windows Print Spooler hiba néhány alapvető szempontját, vagyis a kutatók szerint még a teljesen javított rendszerek is veszélyben lehetnek.

A kissé zavaros monda háttere tehát a következő: A Microsoft először javította a CVE-2021-1675-et, mint viszonylag alacsony prioritású helyi privilégium-eszkalációs sebezhetőséget a júniusi Patch Tuesday cseppben, de a múlt héten került előtérbe Amikor két kínai kutató aggodalmát fejezte ki amiatt, hogy a riválisok megkezdték a kutatás eredményeit, kiadta a koncepció bizonyítékát (PoC), amely szerintük CVE-2021-1675 volt. Ez nem volt; valójában a kutatók egy sokkal veszélyesebb RCE nulla napot (CVE-2021-34527) tettek közzé, amelyhez nem volt elérhető javítás.

A javítás megszűnése után a biztonsági szakemberek szinte azonnal azt mondták, hogy azt tapasztalták, hogy bár a javítás meglehetősen szépen foglalkozott a PrintNightmare RCE összetevőjével, nem sikerült lefednie a felhasználókat az LPE ellen egyes konkrét helyzetekben – vagyis egy már a hálózaton lévő támadó még mindig pusztítást végezhet, ha akarják. Valójában a javítás hiányosnak tűnik.

Huntress John Hammond elmondta, hogy a cég a mai napig nem látott olyan javítási forgatókönyvet, amely magában foglalta az LPE megakadályozását, az RCE megakadályozását, és ami a felhasználók számára a legfontosabb, lehetővé tette számukra a normál nyomtatást.

Ráadásul a javítás még nem foglalkozik a különböző Microsoft rendszerekkel, nevezetesen a Windows 10 1607-es, a Windows Server 2012 és a Windows Server 2016-os verzióval. A Microsoft szerint ez szándékos választás volt.

Redmond egy blogbejegyzésében azt mondta: „Néhány csomag nem egészen készen áll a kiadásra. Fontosnak tartjuk, hogy a lehető leghamarabb biztosítsuk a biztonsági frissítéseket azok számára a rendszerek számára, amelyeket ma magabiztosan megvédhetünk. “

A javítás hatékonyságától függetlenül a felhasználóknak továbbra is a legjobb a letöltés és alkalmazás, annak ellenére, hogy ez kissé zavart okozhat a biztonsági csapatok ütemtervében a július 13-i javítás keddi cseppje körül.

Tartható Satnam Narang személyzeti kutatómérnök szerint a PrintNightmare azonnali figyelmet igényel a Windows Print Spooler mindenütt jelenléte miatt, és a potenciális támadók kihasználhatják a hibát, hogy átvegyék a tartományvezérlőt.

„Noha nem tudjuk biztosan, miért választotta a Microsoft ezt sávon kívüli javításként való közzétételre, gyanítjuk, hogy számos, a koncepciót bizonyító kizsákmányoló szkript rendelkezésre áll, valamint a vadon élő kizsákmányolásról szóló jelentések hozzájárultak a ezt a döntést – mondta. Arra számítunk, hogy csak idő kérdése lesz, hogy szélesebb körben beépüljön a támadói eszközkészletekbe.

„A PrintNightmare mindaddig értékes kiaknázás marad a számítógépes bűnözők számára, amíg vannak ki nem javított rendszerek, és mint tudjuk, a ki nem javított sebezhetőségek hosszú eltarthatósági idővel rendelkeznek a támadók számára.

“Most, hogy a Microsoft kiadott javításokat, a szervezeteket határozottan arra ösztönözzük, hogy a lehető leghamarabb alkalmazzák a javításokat, különösen azért, mert a támadók könnyen elérhető PoC-kiaknázó szkripteket építenek be az eszköztárukba” – mondta Narang a Computer Weekly-nek e-mailben küldött megjegyzéseiben.

Tim Mackey, a Synopsys CyRC (Kiberbiztonsági Kutatóközpont) egyetértett: „Valahányszor új biztonsági nyilvánosságra kerül, feltételezzük, hogy ismeretesek a közzététel gyengeségeinek kiaknázására vonatkozó ismeretek.

„Azt is meg kell érteni, hogy amint az interneten közzéteszik az információt, azt valaki más klónozza vagy másolja. A kihasználható biztonsági kérdések POC-jait általában közzéteszik, miután a biztonsági nyilvánosságra hozatalt és a kapcsolódó javításokat nyilvánosságra hozták.

„A publikálás normális folyamat, mert ezek a részletek lehetővé tehetik más biztonsági kutatók számára, hogy azonosítsák a kiaknázás egyéb útjait, amelyekre szintén szükség lehet javításra. A felhasználók számára az a legjobb, amit tehetnek az áldozattá válás elkerülése érdekében, ha a Windows rendszert azonnal javítják ”- mondta.