Το θέμα για τον εκτυπωτή της Microsoft και σχετικά θέματα συνεχίζεται καθώς νωρίτερα σήμερα η εταιρεία επιβεβαίωσε ένα νέο ελάττωμα ασφαλείας στην υπηρεσία Windows Print Spooler. Η νέα ευπάθεια έχει εκχωρήσει το αναγνωριστικό CVE-2021-36958 και εδώ περιγράφεται η εταιρεία Redmond για το νέο ελάττωμα:
“Υπάρχει μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα όταν η υπηρεσία Windows Print Spooler εκτελεί ακατάλληλα προνομιακές λειτουργίες αρχείων. Ένας εισβολέας που εκμεταλλεύτηκε επιτυχώς αυτήν την ευπάθεια θα μπορούσε να εκτελέσει αυθαίρετο κώδικα με δικαιώματα SYSTEM. Ένας εισβολέας θα μπορούσε στη συνέχεια να εγκαταστήσει προγράμματα. προβολή, αλλαγή ή διαγραφή δεδομένων. ή να δημιουργήσετε νέους λογαριασμούς με πλήρη δικαιώματα χρήστη.”
Όπως μπορεί να γίνει αντιληπτό για όσους παρακολουθούν στενά το θέμα, το νέο τεύχος σχετίζεται με το τρέχον σφάλμα PrintNightmare που η εταιρεία κυκλοφόρησε μια διόρθωση για μερικές ημέρες νωρίτερα. Η Microsoft ισχυρίστηκε ότι η ενημερωμένη έκδοση κώδικα θα πρέπει να είναι χρήσιμη για τον μετριασμό του προβλήματος σε μεγάλο βαθμό, καθώς θα απαιτούσε πλέον δικαιώματα διαχειριστή για την εκτέλεση Point and Print εγκαταστάσεων και ενημερώσεων προγραμμάτων οδήγησης. Ωστόσο, σε συστήματα που έχουν ήδη εγκαταστήσει το πρόγραμμα οδήγησης εκτυπωτή, οι χρήστες που δεν είναι διαχειριστές και είναι πιθανώς φορείς απειλής μπορούν ακόμα να εκμεταλλευτούν την ευπάθεια.
Η Microsoft έχει πιστώσει τον Victor Mata της FusionX, Accenture Security, ο οποίος είχε αναφέρει για αυτό το σφάλμα τον περασμένο Δεκέμβριο.
Είναι ενδιαφέρον να σημειωθεί εδώ ότι η ευπάθεια χαρακτηρίστηκε ως απομακρυσμένη εκτέλεση κώδικα (RCE), αλλά ο Will Dormann της CERT είπε στο Bleeping Computer ότι “είναι σαφώς τοπικό (LPE)” ή κλιμάκωση τοπικών προνομίων. Στην πραγματικότητα, στην τεκμηρίωση για το θέμα ευπάθειας, η ίδια η Microsoft περιγράφει το διάνυσμα επίθεσης ως τοπικό.
Η εταιρεία δήλωσε ότι εργάζεται για μια επιδιόρθωση και ζήτησε να απενεργοποιήσετε την υπηρεσία Print Spooler ως προσωρινή λύση. Ωστόσο, ο ερευνητής ασφαλείας Benjamin Delpy λέει ότι έχει έναν καλύτερο τρόπο για να το κάνει αυτό από το να απενεργοποιήσει εντελώς την υπηρεσία εκτύπωσης.
Η Delpy συνέστησε στους χρήστες να περιορίσουν τις λειτουργίες εκτύπωσης σε εγκεκριμένους διακομιστές μόνο χρησιμοποιώντας την επιλογή Windows “Package Point and print – Approved servers” στην Πολιτική ομάδας των Windows. Σύμφωνα με τη Microsoft:
Αυτή η ρύθμιση πολιτικής περιορίζει τις συνδέσεις σημείων πακέτου και εκτύπωσης σε εγκεκριμένους διακομιστές. Αυτή η ρύθμιση ισχύει μόνο για συνδέσεις Package Point και Print και είναι ανεξάρτητη από την πολιτική Point and Print Restrictions που διέπει τη συμπεριφορά των σημείων και των συνδέσεων εκτύπωσης χωρίς πακέτο.
Για να προσθέσετε τους εγκεκριμένους διακομιστές σας σε αυτήν την πολιτική, μεταβείτε στο πρόγραμμα επεξεργασίας πολιτικής ομάδας (ή εκτελέστε την υπηρεσία gpedit.msc). Στη συνέχεια, μεταβείτε στη Διαμόρφωση χρήστη > Πρότυπα διαχείρισης > Πίνακας ελέγχου > Εκτυπωτές > Σημείο πακέτου και εκτύπωση – Εγκεκριμένοι διακομιστές (> Επεξεργασία). Είναι σημαντικό να σημειωθεί ότι αυτό δεν αποτελεί μέρος του επίσημου μετριασμού που έχει επισημάνει η Microsoft, οπότε εφαρμόστε το με δική σας ευθύνη.