Microsoft emite patch-uri pentru a remedia eroarea de tip zero-day PrintNightmare


Actualizarea în afara perioadelor obișnuite de update remediază o eroare de execuție a codului la distanță care afectează serviciul Windows Print Spooler.

Microsoft a lansat miercuri o actualizare de urgență pentru a adresa o vulnerabilitate în serviciul Windows Print Spooler care este exploatat activ in-the-wild. Supranumit PrintNightmare, breșa de securitate de tip zero-day afectează toate versiunile sistemului de operare Microsoft Windows până la versiunea Windows 7.

Indexat ca CVE-2021-34527, eroarea de execuție a codului la distanță este clasificată ca severitate ridicată și deține un scor de 8,2 din 10 pe scara Sistemului de Scoring al Vulnerabilităților Comune (CVSS) (Common Vulnerability Scoring System). Lacuna de securitate a fost considerată atât de severă încât Microsoft a decis să emită un patch în afara perioadelor obișnuite de update, în loc să lanseze remedierea ca parte a pachetului său obișnuit de Patch Tuesday, programat pentru săptămâna viitoare.

„Există o vulnerabilitate la executarea codului la distanță atunci când serviciul Windows Print Spooler efectuează în mod necorespunzător operații cu fișiere privilegiate. Un atacator care a exploatat cu succes această vulnerabilitate ar putea rula cod arbitrar cu drepturi de sistem. Un atacator ar putea apoi să instaleze programe, vizualiza, modifica sau șterge datele sau crea conturi noi cu drepturi de utilizator complete", este descris în prezentarea făcută de Microsoft erorii.

Cea mai recentă actualizare a fost adresată versiunilor Windows care nu au fost abordate în actualizarea în afara perioadei de update lansată pe 6 iulie; și anume Windows Server 2012, Windows Server 2016 și Windows 10, versiunea 1607.

Cu toate acestea, unii cercetători au observat rapid că patch-ul nu abordează întreaga amploare a vulnerabilității. Într-adevăr, gigantul tehnologic de la Redmond a subliniat, de asemenea, că, în anumite circumstanțe, sistemele vor fi în continuare vulnerabile: „Dacă NoWarningNoElevationOnInstall este setat la 1, sistemul dvs. va fi vulnerabil prin design.” Cu toate acestea, Microsoft a publicat și soluții alternative pentru această problemă.

Prima soluție se concentrează pe dezactivarea serviciului Print Spooler, ceea ce va împiedica utilizatorii să imprime atât local, cât și de la distanță. Între timp, cel de-al doilea pas instruiește administratorii și utilizatorii să dezactiveze imprimarea de la distanță de intrare prin intermediul politicii de grup. Acest pas va bloca atacurile la distanță, deoarece previne operațiunile de imprimare la distanță, dar sistemul va înceta să funcționeze ca un server de imprimare. Totuși, va fi posibilă printarea prin dispozitive conectate direct.

Vulnerabilitatea a fost identificată la finalul lunii iunie, când un grup de cercetători în domeniul securității a publicat un articol ce atestă dovada existenței vulnerabilității, ce se credea în mod eronat că a fost rezolvată. Confuzia a rezultat dintr-o vulnerabilitate similară (CVE-2021-1675) care afectează și serviciul Print Spooler.

Administratorii și utilizatorii care nu au reușit să-și actualizeze sistemele ar face bine să o facă imediat. Actualizările pot fi găsite pe toate canalele obișnuite, cum ar fi Windows Update, Microsoft Update Catalog și Windows Server Update Services.

Amer Owaida July 9, 2021

Lasa un comentariu