Microsoft v pravidelným úterním updatem zalepil nebezpečnou bezpečnostní díru PrintNightmare. Tentýž den se však objevila další chyba týkající se Správce tisku ve Windows. Dostala označení CVE-2021-36958 a podobně, jako v předchozím případě, umožňuje vzdálené spuštění kódu.
Nutno podotknout, že Microsoft chybu, která byla původně objevena již před osmi měsíci, přiznal a pracuje na jejím vyřešení. Mezitím se však objevují škodlivé aplikace, zneužívající bezpečnostní nedostatky ve Správci tisku na nezáplatovaných počítačích.
Podle informací Bleeping Computer se PrintNightmare rychle stává oblíbeným vstupním bodem ransomwarových gangů, které se zaměřují na servery se systémem Windows, aby obětem nainstalovaly ransomware Magniber. Bezpečnostní firma CrowdStrike uvádí, že zabránila několika pokusům o zneužití, a varuje, že to může být pouze začátek rozsáhlejších kampaní.
Bezpečnostní chyby ve Správci tisku
Opravování chyb ve službě zajišťující tisk se stalo doslova noční můrou redmondských vývojářů. Začalo to tím, že technické podrobnosti a důkaz zranitelnosti, označované jako PrintNightmare, byly omylem odhaleny na přelomu června a července.
6. července byla vydána mimořádná bezpečnostní záplata KB5004945, nicméně o pouhé dva dny později se objevily informace, že záplata nefunguje a jí implementované řešení lze obejít. Definitivní tečkou měly být aktualizace, publikované v úterý 10. srpna, nicméně i po jejich instalaci je služba Správce tisku zranitelná.
V novém bezpečnostním doporučení Microsoft potvrdil existenci další zranitelnosti ve službě pro správu tiskových úloh. Je podobná dříve objeveným chybám a lze ji využít ke zneužití určitých konfiguračních nastavení a možnosti uživatelů s omezenými právy instalovat ovladače tiskáren, které pak lze spustit s maximální možnou úrovní oprávnění.
Zranitelnost přetrvává
Potenciální útočník může zneužít chybu ve způsobu, jakým služba Správce tisku provádí privilegované operace se soubory. V podstatě tak lze získat přístup na úrovni systému a provádět v něm jakékoli akce. Dočasným řešením je opět úplné zastavení a zakázání služby pro správu tisku.
Novou zranitelnost objevil dobře známý bezpečnostní expert Benjamin Delpy. Ten prakticky hned po vydání úterních aktualizací publikoval na Twitteru příspěvek, ve kterém názorně ukazuje, že i na plně záplatovaném počítači dokáže získat zvýšená oprávnění. „Skvělé záplatovací úterý, Microsofte, ale nezapomněli jste něco pro PrintNightmare?“ rýpnul si.
Delpy zjistil, že ačkoli záplata zajistila, aby systém Windows požadoval pro instalaci ovladačů tiskáren oprávnění správce, uživatel tato oprávnění k připojení tiskárny nepotřebuje, pokud má již nainstalovaný ovladač. Kromě toho je zranitelnost ve Správci tisku stále otevřená útokům při připojení ke vzdálené tiskárně.