Technológia

Aggódnom kellene a PrintNightmare miatt?

A biztonsági csapatok a távoli kódfuttatás (RCE) biztonsági rés a Windows Print Spooler programban a hiba koncepciókonkénti (PoC) kódja után – CVE-2021-1675 és a PrintNightmare névre keresztelt – a kínai székhelyű kutatók június végén tették közzé a GitHub számára Sangfor.

A kód kiadása nyilvánvalóan véletlenül történt Sangfor részéről. A jelentések szerint, a Sangfor csapata meggyorsította a PoC közzétételét, miután egy másik cég közzétett egy .gif fájlt, amely a CVE-2021-1675 kizsákmányolását mutatja be.

Boris Larin, vezető biztonsági kutató a Kaspersky GReAT-ja, kifejtette a helyzetet: „Zhiniang Peng és Xuefeng Li kutatók kedden közzétették a PrintNightmare kiaknázását Twitter-fiókjukon, valamint bejelentették a közelgő Black Hat bemutatójukat. Nyilvánvaló, hogy a kutatók ezt tévesen tették, feltételezve, hogy a kihasználásuk során használt sérülékenységet CVE-2021-1675 néven javították be, és a javítást június 8-án adták ki.

„Kiderült, hogy nem ez a helyzet [as] a CVE-2021-1675 javítása javított egy újabb biztonsági rést, és a PrintNightmare kihasználás nulla napos kihasználás nem áll rendelkezésre biztonsági javítás – mondta Larin.

A CVE-2021-1675-et először a A Microsoft júniusi patch kedd cseppje, de eleinte egy viszonylag csekély hatású privilégium-eszkalációs sebezhetőségnek gondolták, amely felhasználható a rendszergazdakód futtatására a Windows Print Spooler rendszert futtató célrendszeren.

Azonban június 21-én, A Microsoft átminősítette RCE biztonsági réssé, és alacsonyabbról kritikus súlyosságra emelte. Ez bonyolítja az amúgy is kissé terhes helyzetet, és ez azt is jelenti, hogy a tapasz hiánya nagyobb aggodalomra ad okot, mint egyébként lehet.

Szerencsére John Hammond Vadásznő, az amerikai biztonsági platform szállítója, az Egyesült Államok egyik képviselője elmondta, hogy van egy másik lehetőség a védők számára: „Ideiglenes, sávsegítő megoldás a Print Spooler szolgáltatás letiltása.”

Hammond hozzátette: mindaddig, amíg a Print Spooler letiltása megfelelő – bizonyos helyzetekben nem kívánt mellékhatásokkal járhat -, ez szerencsére meglehetősen egyszerű munka, és egyetlen gépen elvégezhető néhány PowerShell-paranccsal. További részletek itt érhetők el.

A Print Spooler egy natív, beépített Windows szolgáltatás, amely alapértelmezés szerint engedélyezve van a Windows gépeken a nyomtatók és a szerverek kezeléséhez, és ezért elterjedt az egész vállalati informatikai helyiségekben.

A sérülékenységeket az évek során gyakran találták benne, és nagyon hatékonyak lehetnek – valóban, a Print Spooler sebezhetősége megnyitotta a kaput a hírhedt Stuxnet incidens.

Jan Vojtěšek, a malware kutatója Avast, mondta: „Ez a biztonsági rés lehetővé teheti egy távoli támadó számára, hogy teljesen átvegye a Windows gépét. Ugyancsak használhatja egy támadó, hogy több kiváltságot szerezzen egy olyan gépen, amelyhez már korlátozott hozzáféréssel rendelkezik.

„A veszélyeztetettséget rendkívül veszélyessé teszi azoknak a tényeknek a kombinációja, amelyek jelenleg nincsenek megadva, és hogy nyilvános PoC-kiaknázás létezik. Bármely támadó megpróbálhatja kihasználni ezt a biztonsági rést, hogy rosszindulatú műveleteket hajtson végre. Ez nagy nyomást gyakorol a Microsoftra, amelynek most a lehető leghamarabb el kell engednie a javítást, hogy megakadályozzák a támadókat abban, hogy kihasználják ezt a sebezhetőséget ”- mondta Vojtěšek.

A Kaspersky Larin hozzátette: „A biztonsági rés kétségtelenül súlyos, mert lehetővé teszi a helyi számítógép privilégiumainak emelését vagy a szervezet hálózatán belüli más számítógépekhez való hozzáférést. Ugyanakkor ez a biztonsági rés általában kevésbé veszélyes, mint mondjuk a legutóbbi nulla napos sebezhetőség a Microsoft Exchange-ben, elsősorban azért, mert a PrintNightmare kiaknázásához a támadóknak már a vállalati hálózaton kell lenniük. “

Ez a védőknek irgalmasan azt jelenti, hogy valószínűleg nem valószínű, hogy a PrintNightmare a széles körű kibertámadások vektorává válik. Mindazonáltal, a nyomtatási spooler letiltásáig, amíg egy javítás nem áll rendelkezésre, a biztonsági csoportoknak azt javasoljuk, hogy erősítsék meg általános védekezésüket, figyeljenek az alkalmazottak tudatosságára, ellenőrizzék, hogy a hitelesítő adatok körül megfelelő-e a higiénia, és biztosítsák, hogy a szervezet jól védett.