Microsoft wypuścił łatkę do krytycznej podatności PrintNightmare (CVE-2021-34527)

08 lipca 2021, 09:11 | W biegu | komentarzy 9

Jakiś czas temu pisaliśmy o podatności w Windows Print Spooler (CVE-2021-1675), która okazała się krytyczną luką, pozwalającą zarówno na zdalne wykonanie kodu, jak i na eskalację uprawnień na systemach Windows:

Recently, we found right approaches to exploit #CVE-2021-1675 successfully, both #LPE and #RCE. It is interesting that the vulnerability was classified into #LPE only by Microsoft, however, it was changed into Remote Code Execution recently.https://t.co/PQO3B12hoE pic.twitter.com/kbYknK9fBw
— RedDrip Team (@RedDrip7) June 28, 2021

Nie pomogła również wpadka badaczy bezpieczeństwa, którzy przez przypadek opublikowali POC oraz szczegółowe objaśnienie podatności:

We deleted the POC of PrintNightmare. To mitigate this vulnerability, please update Windows to the latest version, or disable the Spooler service. For more RCE and LPE in Spooler, stay tuned and wait our Blackhat talk. https://t.co/heHeiTCsbQ
— zhiniang peng (@edwardzpeng) June 29, 2021

Choć repozytorium zostało dość szybko usunięte, to inni użytkownicy zdążyli zrobić kopię zapasową publikacji Zhanga. Z tego powodu udostępnienie „uzbrojonego” exploita było jedynie kwestią czasu:

Microsoft zmienił oznaczenie podatności na CVE-2021-34527 oraz wypuścił aktualizację KB5004945, które adresuje między innymi właśnie tę lukę:

Co ciekawe, firmie Microsoft udało się jedynie naprawić problem ze zdalnym wykonaniem kodu. Podniesienie uprawnień do systemowych jest dalej możliwe:

Fully patched Windows 2019 domain controller, popped with 0day exploit (CVE-2021-1675) from a regular Domain User's account giving full SYSTEM privileges. Disable "Print Spooler" service on servers that do not require it. pic.twitter.com/6SUVQYy5Tl
— Hacker Fantastic (@hackerfantastic) June 30, 2021

Nie czekaj i skorzystaj z łatki od Microsoftu – grup ransomware’owych chcących wykorzystać tę podatność nie brakuje…

~ Jakub Bielaszewski

Komentarze

Przemek

8 lipca, 2021 | 9:22 am

Pierwszy raz udało mi się załatać wszystkie krytyczne systemy zanim opublikowaliście newsa ;) Dobrze że ta paczka pojawiła się tak szybko w WSUSie

Odpowiedz
Dexter

8 lipca, 2021 | 9:33 am

Nie instalujcie jeżeli używacie drukarek etykiet firmy Zebra, nie da się wtedy drukować na nich.

Odpowiedz
Robert

8 lipca, 2021 | 9:38 am

preferuję sambę, mniej takich krytycznych akcji. tylko wsusa brak ale jest wsuse-offline

Odpowiedz
GrammarNazi

8 lipca, 2021 | 12:33 pm

„Adresuje” się LISTY I PACZKI, do diaska! Motyla noga!
Aktualizacja:
– naprawia
– łata
– rozwiązuje
– rozbraja! (czemu nie?) itp. itd.
Tyle fajnych wyrazów, a Wy cały czas wkładacie w tekst tę paskudną kalkę z angielskiego.

Odpowiedz
- adresator
  
  9 lipca, 2021 | 10:19 am
  
  Tak, też zauważyłem manierę „adresowania” :-(.
  
  Odpowiedz
- obercik
  
  9 lipca, 2021 | 9:50 pm
  
  Panie mądry… a jaki to jest „fajny” wyraz?
  
  Odpowiedz
  - panie ober
    
    11 lipca, 2021 | 12:51 am
    
    Jest napisane w tym samym wpisie.
    
    Odpowiedz
- mrupio
  
  14 października, 2021 | 7:05 am
  
  Święte słowa.
  
  Odpowiedz
Marian

8 lipca, 2021 | 7:24 pm

A czy ktoś się orientuje czy Defender czasem nie wystarczy za ochronę?

Większość producentów antywirusów wprowadziła szczepionki przed tą podatnością i łatanie dziury jest oczywiście lepszym wyjściem, ale jeśli ma rozwalić przy okazji działanie drukowania w firmie, choćby właśnie Zebrami, to może nie ma sensu tego łatać?

Odpowiedz

Sprawdź VPS od Aruba!

Microsoft wypuścił łatkę do krytycznej podatności PrintNightmare (CVE-2021-34527)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:

Komentarze

Odpowiedz