Ranjivost Windows Print Spoolera, CVE-2021-1675, za koju je Microsoft izdao patch u junu, mnogo je ozbiljnija nego što se prvo mislilo. U dokazu koncepta (PoC) pokazano je da ova ranjivost može da se koristi za izvršenje koda sa udaljene lokacija, a da nesreća bude veća, PoC zloupotrebe ove ranjivosti je slučajno objavljen.
Windows Print Spooler je aplikacija, tj. servis koji komunicira sa lokalnim ili umreženim štampačima i upravlja procesom štampanja. Servis je deo Windowsa još od 90-ih i jedan je od najproblematičnijih procesa. Više ranjivosti, kao što su PrintDemon, FaxHell, Evil Printer, CVE-2020-1337, pa i zero day ranjivosti koje su korišćene kod Stuxnet napada, vezuje se za ovaj servis.
Ranjivost PrintNightmare
CVE-2021-1675 je prvobitno označena kao ranjivost male težine i patchovana u junu 2021. u okviru junskog Patch Tuesdaya.
Međutim, Microsoft je kasnije tog meseca promenio klasifikaciju, jer je otkriveno da ranjivost ne omogućava samo podizanje lokalnih privilegija, kako se prvo mislilo, nego i izvršenje koda sa udaljene lokacije. Zbog toga je ranjivost označena kao kritična.
O ozbiljnosti ranjivosti prvi put smo saznali krajem juna, kada su istraživači iz kineske kompanije QiAnXin objavili na Twitteru GIF u kom demonstriraju zloupotrebu ranjivosti. Tada nisu objavljeni tehnički detalji PoC-a, da bi korisnici imali vremena da ažuriraju svoje sisteme.
Par dana kasnije istraživači druge kineske kompanije, Sangfor Technologies, na GitHubu su objavili, pa brzo izbrisali, detaljan tehnički opis PoC eksplojta ranjivosti koju su nazvali "PrintNightmare". Nažalost nisu dovoljno brzo izbrisali svoju objavu, tako da je PoC kloniran više puta.
Preporuke
Patch za CVE-2021-1675 rešava samo jedan problem - podizanje lokalnih privilegija, i štiti samo od napada koji koriste ovaj vektor. Patch ne sprečava ozbiljniju ranjivost, izvršenje koda sa udaljene lokacije, pa se zbog toga preporučuje da se Print Spoooler servis onemogući, naročito na Windows serverima koji služe kao domen kontroleri, jer odatle napadi mogu da se kreću kroz celu internu mrežu.
Update: Microsoft izdao Patch
Microsoft je izdao bezbednosno ažuriranje 6. jula. Ovaj patch omogućava da se sistem zaštiti od dve ranjivosti Windows Print Spoolera - CVE-2021-1675 koja omogućava podizanje lokalnih privilegija, kao i od ranjivosti CVE-2021-34527 koja omogućava izvršenje koda sa udaljene lokacije.
Microsoft preporučuje da instalirate ovo ažuriranje odmah.