Кошмар в вашем принтере

В службе диспетчера печати Windows есть PrintNightmare — уязвимость нулевого дня, позволяющая полностью завладеть атакованной системой. Её обнаружили ещё в начале года, но сочли не особо опасной: казалось, через неё можно было только повышать привилегии.

Однако недавно Microsoft сообщила, что уязвимость позволяет удалённо запускать любой код с SYSTEM-привилегиями. Компания настоятельно посоветовала администраторам отключить Windows Print Spooler. Полноценного патча всё ещё нет: выпущенный ранее в июньский вторник обновлений исправил первоначальную проблему с привилегиями, но не более широкую уязвимость. Она, кстати говоря, касается всех версий Windows.

Ранее о PrintNightmare почти не писали. Наконец, 28 июня ИБ-исследователи из RedDrip Team рассказали про уязвимость и показали гифку с их эксплойтом под неё. А потом на Гитхабе появился подробный технический отчёт, к которому любезно прилагался код работающего эксплойта. Похоже, это была чья-то ошибка, которая прожила несколько часов, но клонировать репо всё равно успели. Новости с полей ничего хорошего не обещают: Microsoft подтвердила, что уязвимостью уже пользуются.

7 июля Microsoft спешно выпустила патч, призванный устранить уязвимость, но он… не работает. Проверившие его пользователи и исследователи с сожалением выяснили, что получить SYSTEM-права всё ещё возможно и в обновлённой системе. Что ж, будем ждать патча для патча.