Публикуваха PoC за критична уязвимост в Windows
Print Spooler, услугата в Windows, която подкрепя принтирането в Windows, от дълго време е известна като проблематична и последният Patch Tuesday запуши следващата открита дупка в него. Сега обаче се появи информация за нова накърнимост в Spooler, а дружно с нея беше оповестено и управление за експлоатирането ѝ.
Базираната в Хонг Конг компания Sangfor се подготвяли за присъединяване си на хакерското експо Black Hat, на което ще приказват за проблемите в Windows Print Spooler. Те решили да разгласяват в Интернет проява на експлоатирането на това, което те мислят, че е, опция за неразрешено осъществяване на далечен код в Windows чрез накърнимост в Spooler. Дупката е запушена този месец в Patch Tuesday. Оказало се обаче, че PoC (proof-of-concept) кода, с който показват експлоатирането на уязвимостта работи на изцяло актуализирани системи – Sangfor без да желаят разкрили нов проблем в Spooler. Това предизвика компанията да изтрие документите, обвързвана с тяхната проява, и по този начин експлойта за това, което те нарекли PrintNightmare, към този момент циркулира в Интернет. Скоро по-късно, Уил Дорман, софтуерен инженер към университета „Карнеги Мелон“ разгласява и съответна информация, обвързвана с дупката, като поучава Print Spooler да бъде деактивиран до издаването на кръпка за дупката, в случай че системата не е обвързвана с принтер.
„Microsoft Windows Print Spooler не съумява да ограничи достъпа до RpcAddPrinterDriverEx() функционалността, което може да разреши на отдалечена автентикирала се атакуваща страна да извърши случаен код с привилегии на равнище SYSTEM на уязвими системи“, Дорман.
Базираната в Хонг Конг компания Sangfor се подготвяли за присъединяване си на хакерското експо Black Hat, на което ще приказват за проблемите в Windows Print Spooler. Те решили да разгласяват в Интернет проява на експлоатирането на това, което те мислят, че е, опция за неразрешено осъществяване на далечен код в Windows чрез накърнимост в Spooler. Дупката е запушена този месец в Patch Tuesday. Оказало се обаче, че PoC (proof-of-concept) кода, с който показват експлоатирането на уязвимостта работи на изцяло актуализирани системи – Sangfor без да желаят разкрили нов проблем в Spooler. Това предизвика компанията да изтрие документите, обвързвана с тяхната проява, и по този начин експлойта за това, което те нарекли PrintNightmare, към този момент циркулира в Интернет. Скоро по-късно, Уил Дорман, софтуерен инженер към университета „Карнеги Мелон“ разгласява и съответна информация, обвързвана с дупката, като поучава Print Spooler да бъде деактивиран до издаването на кръпка за дупката, в случай че системата не е обвързвана с принтер.
„Microsoft Windows Print Spooler не съумява да ограничи достъпа до RpcAddPrinterDriverEx() функционалността, което може да разреши на отдалечена автентикирала се атакуваща страна да извърши случаен код с привилегии на равнище SYSTEM на уязвими системи“, Дорман.
Източник: kaldata.com
КОМЕНТАРИ