Дослідник із кібербезпеки Бенджамін Делп розробив віддалений сервер друку, що дозволяє будь-якому користувачеві Windows з обмеженими правами отримати повний контроль над пристроєм шляхом простої установки драйвера друку.
Минулого місяця дослідники безпеки випадково опублікували PoC-експлойт для уразливості в сервісі друку Windows Print Spooler, що отримала назву PrintNightmare ( CVE-2021-34527 ). Microsoft випустила виправлення для проблеми, але дослідники безпеки визнали його недостатньо ефективним. У свою чергу, компанія заявила, що патч працює як належить, а дослідники використовували параметри реєстру, невідповідні її офіційної документації.
З тих пір дослідники продовжували розробляти нові способи експлуатації уразливості. Минулого місяця Делп виявив новий спосіб використання стандартного процесу установки драйверів принтера для отримання привілеїв системи. Для цього атакуючий повинен створити шкідливий драйвер принтера і підписати його за допомогою довіреного сертифікату Authenticode, слідуючи офіційній інструкції Microsoft. Підписані шкідливі драйвери потім можуть встановлюватися на будь-який підключений до Мережі пристрій, де у них є привілеї адміністратора.
#printnightmare 4.x – lots of❤️to the printnightmare[.]gentilkiwi[.]com Internet server, but some wanted to have a Lan server.
Legit: many companies don't allow outbound SMB traffic (as some ISP)
> Some PowerShell commands to help: https://t.co/4QmQOGXoOw (& new mimispool.dll) pic.twitter.com/1v9wRwmR9l
— 🥝🏳️🌈 Benjamin Delpy (@gentilkiwi) July 29, 2021
Новий метод дозволяє будь-якому зловмисникові отримати адміністративні привілеї шляхом простої установки віддаленого драйвера друку. Отримавши права адміністратора на системі, злочинці можуть запускати будь-яку команду, додавати користувачів або встановлювати будь-яке програмне забезпечення, фактично маючи повний контроль над пристроєм.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ
Чи варто використовувати VPN для перегляду усіх веб-сторінок? ПОРАДИ
Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ
Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ
Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ
До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.
Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.
Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.
Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена на продаж в Darknet.
Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.
