Pod koniec czerwca badacze bezpieczeństwa omawiali lukę w usłudze buforu wydruku systemu Windows, którą nazwali PrintNightmare. Lukę wyeliminowała wydana w czerwcu, w ramach wtorkowych poprawek, łata. Jednak zamknęła ona tylko lukę CVE-2021-1675, a tymczasem CVE-2021-34527 pozostała aktywna. Na niezałatanych komputerach lub serwerach z systemem Windows osoba postronna może wykorzystać te luki w zabezpieczeniach do przejęcia nad nimi kontroli, ponieważ bufor wydruku jest domyślnie aktywny we wszystkich systemach Windows.
Firma Microsoft używa określenia PrintNightmare tylko w odniesieniu do luki CVE-2021-34527 (nie do CVE-2021-1675); jednak wiele innych firm używa tej nazwy do obu luk w zabezpieczeniach.
Nasi eksperci szczegółowo przeanalizowali obie luki w zabezpieczeniach i upewnili się, że rozwiązania zabezpieczające Kaspersky, dzięki technologii ochrony przed exploitami i ochronie opartej na zachowaniu, zapobiegają próbom ich wykorzystania.
Dlaczego luka PrintNightmare jest niebezpieczna
Luka PrintNightmare jest uważana za szczególnie niebezpieczną z dwóch powodów:
- Po pierwsze, bufor wydruku systemu Windows jest domyślnie włączony we wszystkich systemach Windows, w tym na kontrolerach domeny i komputerach z uprawnieniami administratora systemu, przez co wszystkie takie urządzenia są narażone na ataki.
- Po drugie, nieporozumienie między zespołami naukowców (a być może prosty błąd) sprawiło, że opublikowali oni w internecie dowód słuszności koncepcji exploita PrintNightmare. Naukowcy byli przekonani, że czerwcowa poprawka Microsoftu już rozwiązała problem, więc podzielili się efektami swojej pracy ze społecznością ekspertów. Jednak exploit pozostał niebezpieczny. Dowód słuszności koncepcji został szybko usunięty, ale wiele osób zdążyło go skopiować, dlatego eksperci Kaspersky przewidują wzrost liczby prób wykorzystania zagrożenia PrintNightmare.
Luki w zabezpieczeniach i ich wykorzystanie
CVE-2021-1675 to luka umożliwiająca zwiększenie uprawnień. Umożliwia ona osobie atakującej, która ma niewielkie uprawnienia dostępowe, użycie szkodliwego pliku DLL do uruchomienia exploita i uzyskiwania wyższych uprawnień. Jest to jednak możliwe tylko wtedy, gdy osoba ta ma już bezpośredni dostęp do danego komputera, dlatego firma Microsoft uznaje tę lukę za stwarzającą stosunkowo niskie zagrożenie.
CVE-2021-34527 jest znacznie bardziej niebezpieczna: chociaż jest podobna do poprzedniej, jest to luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu (RCE), co oznacza, że dzięki niej można zdalnie wstrzyknąć biblioteki DLL. Firma Microsoft rozprawiała się już z exploitami dla tej luki w środowisku naturalnym, a w serwisie Securelist znajduje się bardziej szczegółowy opis techniczny zarówno obu luk w zabezpieczeniach, jak i technik ich wykorzystania.
Ponieważ oszuści mogą użyć luki PrintNightmare do uzyskania dostępu do danych w infrastrukturze firmowej, mogą również użyć exploita do ataków z użyciem ransomware.
Jak chronić swoją infrastrukturę przed PrintNightmare
Pierwszym krokiem w zapewnieniu sobie ochrony przed atakami PrintNightmare jest zainstalowanie obu poprawek — z czerwca i lipca — od firmy Microsoft. Na stronie internetowej zawierającej opis luki z lipca znajdują się również porady firmy Microsoft pozwalające zabezpieczyć się w inny sposób przed zagrożeniem w przypadku, gdy nie można korzystać z poprawek — w niektórych nie trzeba nawet wyłączać buforu wydruku systemu Windows.
Zdecydowanie zalecamy wyłączenie buforu wydruku systemu Windows na komputerach, które go nie potrzebują. W szczególności dotyczy to serwerów kontrolerów domeny.
Ponadto na wszystkich serwerach i komputerach należy zainstalować niezawodne rozwiązanie ochronne dla punktów końcowych, które zapobiega próbom wykorzystania zarówno znanych, jak i jeszcze nieznanych luk w zabezpieczeniach, w tym PrintNightmare.