Microsoft wydał rzadką łatkę poza pasmem 7 lipca, aby naprawić tak zwaną lukę PrintNightmare, ale wydaje się, że nie rozwiązał niektórych podstawowych aspektów błędu bufora wydruku Windows, co oznacza, że nawet w pełni załatane systemy mogą nadal być zagrożone, według naukowców.
Tło tej nieco mylącej sagi jest następujące: Microsoft po raz pierwszy załatał CVE-2021-1675, jako lukę w eskalacji uprawnień lokalnych o stosunkowo niskim priorytecie w czerwcowej łacie wtorkowy spadek, ale to zyskał rozgłos w zeszłym tygodniu kiedy dwóch chińskich badaczy, zaniepokojonych tym, że rywale przyspieszą swoje badania, wydali dowód słuszności koncepcji (PoC) dla tego, co uważali za CVE-2021-1675. Nie było; w rzeczywistości naukowcy ujawnili znacznie bardziej niebezpieczny RCE zero-day, CVE-2021-34527, dla którego nie było dostępnej łatki.
Niemal natychmiast po upuszczeniu łaty specjaliści ds. bezpieczeństwa powiedzieli, że odkryli, że chociaż łata całkiem dobrze odnosiła się do komponentu RCE PrintNightmare, nie chroniła użytkowników przed LPE w określonych sytuacjach – co oznacza, że atakujący już w sieci może nadal siać spustoszenie, jeśli chce. W efekcie łatka wydaje się niekompletna.
John Hammond z Huntress powiedział, że do tej pory firma nie widziała scenariusza łaty, który obejmowałby zapobieganie LPE, zapobieganie RCE, a co najważniejsze, pozwalał im normalnie drukować.
Co więcej, łatka nie dotyczy jeszcze różnych systemów Microsoftu, a mianowicie Windows 10 w wersji 1607, Windows Server 2012 i Windows Server 2016. Microsoft powiedział, że był to celowy wybór.
W poście na blogu Redmond powiedział: „Niektóre pakiety nie są jeszcze gotowe do wydania. Uważamy, że ważne jest jak najszybsze dostarczanie aktualizacji zabezpieczeń dla systemów, które możemy dziś śmiało chronić”.
Bez względu na skuteczność łaty, użytkownikom nadal najlepiej jest ją pobrać i zastosować, nawet jeśli może to nieco zakłócać harmonogramy zespołu ds. bezpieczeństwa wokół wtorkowego spadku lipcowej łaty, który nastąpi 13 lipca.
Możliwy do utrzymania Satnam Narang, inżynier ds. badań kadrowych, powiedział, że PrintNightmare zasługuje na natychmiastową uwagę ze względu na wszechobecność bufora wydruku systemu Windows, a potencjalni napastnicy mogą wykorzystać tę lukę do przejęcia kontrolera domeny.
„Chociaż nie wiemy z całą pewnością, dlaczego firma Microsoft zdecydowała się opublikować to jako poprawkę poza pasmem, podejrzewamy, że do tego przyczyniły się liczne skrypty wykorzystujące weryfikację koncepcji wraz z raportami o wykorzystywaniu na wolności. ta decyzja” – powiedział. “Spodziewamy się, że to tylko kwestia czasu, zanim zostanie szerzej włączone do zestawów narzędzi atakujących.
„PrintNightmare pozostanie wartościowym exploitem dla cyberprzestępców, dopóki istnieją niezałatane systemy, a jak wiemy, niezałatane luki mają długi okres trwałości dla atakujących.
„Teraz, gdy Microsoft wydał łatki, organizacje są zdecydowanie zachęcane do jak najszybszego ich zastosowania, zwłaszcza że atakujący włączają do swoich zestawów narzędzi łatwo dostępne skrypty exploitów PoC” – powiedział Narang Computer Weekly w komentarzach e-mailowych.
Tim Mackey, główny strateg ds. bezpieczeństwa w Synopsys CyRC (Cybersecurity Research Centre) zgodził się: „Za każdym razem, gdy pojawia się nowe ujawnienie dotyczące bezpieczeństwa, należy założyć, że znana jest wiedza na temat wykorzystania słabych punktów ujawnienia.
„Należy również zrozumieć, że gdy informacja zostanie opublikowana w Internecie, zostanie sklonowana lub skopiowana przez kogoś innego. PoC z możliwymi do wykorzystania problemami bezpieczeństwa są często publikowane po ujawnieniu informacji o zabezpieczeniach i związanych z nimi łatach.
„Publikacja jest normalnym procesem, ponieważ te szczegóły mogą pozwolić innym badaczom bezpieczeństwa zidentyfikować inne ścieżki eksploatacji, które również mogą wymagać poprawek. Dla użytkowników najlepszą rzeczą, jaką mogą zrobić, aby nie paść ofiarą, jest szybkie załatanie systemów Windows” – powiedział.