Microsoft настоява потребителите на Windows незабавно да инсталират актуализация, след като изследователи в областта на кибер-сигурността откриха сериозна уязвимост в операционната система.
Хакерите, които я експлоатират, могат да инсталират програми, да преглеждат и изтриват данни или дори да създават нови потребителски акаунти с пълни потребителски права. Това им дава достатъчен контрол над вашия компютър, така че да нанесат сериозни щети.
Как се стигна до нуждата от спешни действия
Критичният бъг в Windows не е от вчера: До момента се обозначава с три различни имена, но по-важното е, че с всяка актуализация на името се повишава и степента на сериозност на проблема.
В официалния идентификатор на MITRE проблема беше обозначен като CVE-2021-1675 – Microsoft го коригира в Patch Tuesday за юни 2021 г., публикуван на 08 юни 2021 г.
Друго име, с което е познат бъга е Print Spooler – поради това, че в ръководството си за актуализация на защитата Microsoft го посочи като уязвимост на Windows Print Spooler.
Първоначално експлоатирането даваше възможност за EoP (elevation of privileges) в почти всяка поддържана версия на Windows, от Windows 7 SP1 до Server 2019.
На 21 юни 2021 г. обаче Microsoft надгради страницата за актуализация на защитата на CVE-2021-1675, за да признае, че грешката може да се използва и за RCE (remote code execution), което я прави по-сериозна уязвимост от смятаното първоначално.
Проникване с взлом
EoP означава, че някой, който вече е компрометирал компютъра ви, но все още няма администраторски права. Може да си ги „повиши“ (elevate) до такива, използвайки този бъг, без да знае паролата на администратора.
RCE обаче се отнася до експлоатиране на уязвимост, при която киберпрестъпниците могат да директно да изпълнят код на компютъра ви, отдалечено и без парола.
Положението става още по-сериозно, ако RCE се комбинира с EoP – на практика това означава, че устройството ви е изцяло под чужд контрол, което е драматичен пробив в сигурността.
EoP или RCE това би било без значение, стига вече да сте приложили Patch Tuesday актуализацията. Или поне така мислеха всички.
Не става дума за един и същи бъг
Изследователите от компанията за киберсигурност Sangfor са подготвили доклад за Print Spooler бъговете, който да представят на конференция Black Hat през август 2021 г. Няма нищо лошо в това открито да се обсъжда и демонстрира грешка, която вече е публично документирана и е била закърпена преди почти месец, нали?
Но бъгът в Print Spooler, открит от изследователите на Sangfor, всъщност не е същата дупка в сигурността, която е била отстранена в Patch Tuesday.
Изглежда, че екипът на Sangfor неволно е документирал все още неразкрит RCE бъг и по този начин непреднамерено е отприщил Zero-day експлойт.
Новата и некоригирана грешка сега подробно е описана под името PrintNightmare. Става дума за Windows Print Spooler уязвимост за дистанционно изпълнение на код, точно като CVE-2021-1675, но без да е пачната в последната актуализация на Patch Tuesday
Дори няколко независими изследователи са публикували екранни снимки в Twitter, показващи успешна дейност на новия експлойт на сървър на Windows, който вече е инсталирал актуализацията на Microsoft от юни 2021 г.
Какво да направите
Приложете наличният пач. Той обаче не обхваща Windows Server 2016, Windows 10, версия 1607 и Windows Server 2012. Microsoft обяви, че ще пусне надеждна актуализация възможно най-скоро (евентуално в Patch Tuesday за юли 2021г.).
Дотогава, деактивирането на Print Spooler на уязвими компютри е задоволително решение.
Ако имате сървъри, на които е абсолютно задължително Print Spooler да работи, добре е да ограничите мрежовия достъп до тях, дори с риск да причините временни неудобства на някои потребители.
А на тези сървъри, за които Print Spooler работи, но всъщност не е необходим, оставете го изключен дори и след коригирането на грешката – не излагайте на атака излишно голяма повърхност.