Print nightmare windows 7 как обновить

Обновлено: 03.07.2024

Уязвимость PrintNightmare связана с диспетчером очереди печати Windows и затрагивает все версии Windows. К сожалению, патч не полностью исправляет уязвимость, и злоумышленники по-прежнему могут ее эксплуатировать для получения привилегий SYSTEM.

Уязвимость удаленного исполнения кода с идентификатором CVE-2021-34527 позволяет злоумышленникам получить контроль над затронутыми серверами. В случае успешной эксплуатации они получают привилегий SYSTEM, а значит могут устанавливать программы, просматривать, изменять и удалять данные и создавать новые учетные записи с полными правами.

Подробные инструкции по установке внеочередных обновлений безопасности для вашей операционной системы доступны в документах поддержки, ссылки на которые приведены ниже:

• Windows 10, версия 21H1 (KB5004945)
• Windows 10, версия 20H1 (KB5004945)
• Windows 10, версия 2004 (KB5004945)
• Windows 10 версия 1909 (KB5004946)
• Windows 10 версия 1809 и Windows Server 2019 (KB5004947)
• Windows 10, версия 1803 (KB5004949) [пока недоступно]
• Windows 10, версия 1507 (KB5004950)
• Windows 8.1 и Windows Server 2012 (ежемесячный накопительный пакет KB5004954 / обновление безопасности KB5004958)
• Windows 7 SP1 и Windows Server 2008 R2 SP1 (ежемесячный накопительный пакет обновлений KB5004953 / обновление безопасности KB5004951)
• Windows Server 2008 SP2 (ежемесячный накопительный пакет KB5004955 / обновление безопасности KB5004959)

Microsoft пока не выпустила обновления безопасности для Windows 10, версия 1607, Windows Server 2016 или Windows Server 2012, но обещает сделать это в ближайшее время.

Заметки к выпуску для этих обновлений могут публиковаться с задержкой до часа после того, как обновления станут доступны для загрузки.

Обновления для остальных уязвимых поддерживаемых версий Windows будут выпущены в ближайшие дни.

Патчи исправляют только удаленную эксплуатацию

Уязвимость PrintNightmare включает в себя вектор удаленного выполнения кода (RCE) и локального повышения привилегий (LPE), который можно использовать в атаках для выполнения команд с привилегиями SYSTEM в уязвимой системе.

После того, как Microsoft выпустила экстренное обновление, исследователь безопасности Мэтью Хики (Matthew Hickey) проанализировал патч и подтвердил, что он исправляет только RCE составляющую, но не LPE.

Это означает, что исправление является неполным, и злоумышленники и вредоносное ПО могут эксплуатировать уязвимость для получения привилегий SYSTEM.

Также доступны меры по закрытию уязвимости

Microsoft настоятельно рекомендует клиентам незамедлительно установить эти внеочереденые обновления безопасности, чтобы устранить уязвимость PrintNightmare.

Пользователи, которые не могут установить данные обновления как можно скорее, могут ознакомиться с обходными путями, опубликованными в бюллетене безопасности CVE-2021-34527, чтобы защитить свои систему от атак, эксплуатирующих PrintNightmare.

Доступные варианты смягчения атак включают отключение службы диспетчера очереди печати — в этом случае будет заблокирована возможность локальной или удаленной печати — и отключение входящей удаленной печати с помощью групповой политики для удаления вектора удаленной атаки путем блокировки входящих операций удаленной печати.

Microsoft заявляет, что при использовании второго варианта «система больше не будет функционировать как сервер печати, но локальная печать на напрямую подключенное устройство по-прежнему будет работать».

На прошлой неделе Агентство кибербезопасности и защиты инфраструктуры (CISA) опубликовало предупреждение об уязвимости PrintNightmare, рекомендующее администраторам отключить службу диспетчера очереди печати на серверах, которые не используются для печати.

Закрываем уязвимость диспетчера очереди печати Windows (PrintNightmare)

Обновлено: 07.07.2021. Microsoft выпустила обновление KB5004945 для Windows 10, версия 21H1, 20H2 и 2004 для устранение уязвимости PrintNightmare.

Microsoft недавно расскрыла информацию о новой уязвимости удаленного выполнения кода в Windows, которая использует диспетчер очереди печати Windows. Уязвимость активно эксплуатируется, и поэтому компания опубликовала сразу два предварительных решения для защиты систем от атак, использующих данную уязвимость.

Известно, что уязвимость CVE-2021-34527 (PrintNightmare) затрагивает как серверные операционные системы, такие как Windows Server 2008, 2012, в том числе Windows Server 2016, так и десктопные версии Windows 7 SP1, Windows 8.1, Windows 10 1809 и выше, в том числе Windows 10 21H1.

Компания Acros Security, разработчик 0patch Agent для Windows, проанализировав уязвимость, предположила, что проблема затрагивает преимущественно серверные версии Windows Server. Однако, уязвимость может также затрагивать и десктопные версии Windows 10 и серверные версии Windows Server без DC (контроллер доменов), при условии внесения следующих изменений в конфигурацию по умолчанию:

Описание уязвимости CVE-2021-34527 (PrintNightmare):

Уязвимость удаленного выполнения кода эксплуатируется в случаях, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с правами SYSTEM. После этого злоумышленник может установливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя.

Атака вовлекает аутентифицированного пользователя, вызывающего RpcAddPrinterDriverEx ().

Убедитесь, что вы применили обновления безопасности, выпущенные от 8 июня 2021 г., и просмотрите разделы часто задаваемых вопросов и временное решение в этом описании уязвимости, чтобы узнать, как защитить вашу систему от этой уязвимости.

Microsoft предлагает два решения: отключение службы диспетчера очереди печати и отключение входящей удаленной печати с помощью групповой политики. Первое решение отключает локальную и удаленную печать на устройстве. Решение подойдет для случаев, когда функция печати не требуется и не подойдет для случаев, если функция печати используется на устройстве. Вы можете включить диспетчер очереди печати по запросу, но данное решение не удобно.

В качестве второго решения требуется доступ к редактору групповой политики, который доступнен только в версиях Windows Pro и Enterprise.

Security Week 28: уязвимости PrintNightmare в деталях

Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows.

В разборе «Лаборатории» упомянуты две уязвимости в системе печати: CVE-2021-1675 и CVE-2021-34527. Они используют похожий механизм эксплуатации, но если первую уязвимость можно использовать только локально, то вторую — еще и удаленно. Ошибка в коде приводит к недостаточной валидации ввода в ходе добавления нового принтера. В результате появляется возможность загрузить в систему вредоносный DLL-файл. Повторная попытка «добавить принтер» позволяет обратиться к этому файлу, который запустится с системными привилегиями.

Система Print Spooler работает в Windows (в том числе в серверных версиях) по умолчанию. Наибольшую опасность представляет атака именно на серверы, так что Microsoft выпустила рекомендации по отключению системы печати на контроллерах домена.

Что еще произошло

Еще один краткий отчет экспертов «Лаборатории Касперского» посвящен атаке шифровальщика REvil, нацеленной на поставщиков услуг удаленного администрирования и их клиентов. По данным исследователей, к 5 июля, через 4 дня после начала атаки, было зафиксировано более 5000 попыток взлома.

Команда GitHub Security провела аудит открытого ПО Fail2Ban, используемого для ограничения брутфорс-атак на серверы SSH. И не нашла каких-либо серьезных уязвимостей.

Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.

Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.

Два решения для закрытия уязвимости CVE-2021-34527 (PrintNightmare)

Отключение диспетчер очереди печати

Чтобы отключить диспетчер очереди печати, выполните следующие рекомендации:

• Откройте PowerShell с повышенными привилегиями, например, используя сочитание клавиш Win + X и из выпадающего списка выберите Windows PowerShell (Администратор).
• Поочередно запустите следующие команды:

Последние две команда останавливают службу диспетчера очереди печати и отключают её.

Обратите внимание. После внесения изменений вы больше не сможете использовать функцию печати (если снова не включите службу диспетчера очереди печати).

Второе решение – отключение службы входящей удаленной печати с помощью редактора групповой политики

Чтобы отключить входящую удаленную печать, выполните следующие рекомендации:

• Нажмите сочетание клавиш Windows + R , чтобы открыть окно команды «Выполнить».
• Введите gpedit.msc и нажмите ОК.
• В открывшемся Редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера / Административные шаблоны / Принтеры
• Два раза нажмите на политику Разрешить очереди печати принтера прием клиентских подключений.
• Установите для политики значение Отключено.
• Нажмите на кнопку Применить.

0Patch разработали и опубликовали микропатч, который устраняет проблему удаленного выполнения кода диспетчера очереди печати. Однако исправление было создано только для серверных версий Windows Server, в частности для Windows Server 2008 R2, Windows Server 2021, Windows Server 2016 и Windows Server 2019.

Print Nightmare (CVE-2021-1675) эксплуатация и защита

Данный материал предназначен только для исследования уязвимости и построения своевременной защиты.

Уязвимость Spooler позволяет удаленно или локально запускать вредоносную dll для эксплуатации нужны учетные данные пользователя с минимальными привилегиями, патч выпущенный Microsoft не закрывает уязвимость.

Windows Server 2019

Подготовка

Для успешного запуска exploit понадобится python3 с установленной библиотекой Impacket

Запускаем exploit и получаем вывод с параметрами запуска

Так же для эксплуатации понадобится SMB без авторизации

Перезапускаем службу после изменения конфигурации

Для определения уязвимых хостов можно использовать rpcdump.py из библиотеки Impacket

Создаем reverse shell dll для тестирования exploit в папке с открытым доступом SMB

После обращения к вредоносной dll на скомпрометированном сервере будет открыто reverse shell подключение, для этого на своем Parrot будем слушать порт 443 и ожидать подключения

Читайте также:

  
• Star wars battlefront 3 как играть по сети
  
• Кто такой мультяшный кот scp 1126
  
• Что значит we will rock you
  
• Как сделать русскую озвучку в walking dead
  
• Сталкер золотой шар завершение как достать солярку