Okenska ranljivost PrintNightmare še vedno straši

Jurij Kristan

8. jul 2021 ob 21:22:05

Po tem, ko so iz Microsofta v torek poslali prve popravke za ranljivost PrintNightmare (CVE-2021-34527), so varnostni strokovnjaki ugotovili, da jo je mogoče v določenih primerih še vedno zlorabiti in prevzeti nadzor nad sistemom.

V začetku junija so pri Microsoftu z rednimi obliži pokrpali ranljivost CVE-2021-1675. Luknja je zevala v okenskem organizatorju tiskanja (print spooler) in je napadalcem omogočala pridobitev administratorskih privilegijev. Toda nato je prišlo do komedije zmešnjav: teden dni kasneje sta raziskovalca Zhiniang Peng in Xuefeng Li ugotovila, da je mogoče ranljivost izkoristiti tudi za izvajanje kode na daljavo. Ker sta menila, da je težava že odpravljena, sta koncept zlorabe javno objavila, nakar se je izkazalo, da sta v resnici naletela na povsem novo, ločeno ranljivost - CVE-2021-34527, ki sta jo poimenovala PrintNightmare. Ta zlikovcem na daljavo omogoča vdor v krmilnik domen (domain controller), če je ciljni računalnik povezan v internet in daje na razpolago svoj tiskalnik.

Ker so črvi že pobegnili iz konzerve, je nevarnost za zlorabo ranljivosti bistveno narasla, zato so v Redmondu pohiteli in 6. julija izvedli izredni popravek, z dodatnimi navodili. Toda strokovnjaki so kaj kmalu ugotovili, da je tudi ta luknjav. Natančneje: če je v sistemu vklopljena funkcija Point and Print Restrictions in je v njej določeno, da ob namestitvi novih gonilnikov sistem ne opozori na povišanje privilegijev (NoWarningNoElevationOnInstall=1), je mogoče ranljivost PrintNightmare še vedno zlorabiti. To sicer pomeni, da je težavo glede na dostopne podatke mogoče z nekaj ročnega dela zadovoljivo omejiti in tudi Microsoft se trudi zadevo čimprej rešiti v celoti. Toda v tem trenutku še vedno velja, da zgolj lenobna namestitev najosnovnejših popravkov nevarnosti še ne odpravi.