Windows Print Spooler z poważną luką (PrintNightmare) pozwalającą na przejęcie PC przez atakujących

To nie pierwszy raz, kiedy administratorzy IT i użytkownicy zostali powiadomieni o luce w usłudze Windows Print Spooler (Microsoft naprawił lukę RCE w usłudze Windows Print Spooler w swojej czerwcowej aktualizacji zabezpieczeń w zeszły wtorek). Najnowsza podatność typu 0-day w tym komponencie systemu Windows miała zostać szczegółowo opisana na nadchodzącej dorocznej konferencji poświęconej bezpieczeństwu Black Hat, jednak badacze bezpieczeństwa przypadkowo przedwcześnie opublikowali proof-of-concept, a teraz Microsoft ostrzega użytkowników przed tą luką, która jest aktywnie wykorzystywana przez cyberprzestępców. Wygląda więc na to, że Windows Print Spooler zaczyna być problemem giganta z Redmond i zagrożeniem dla osób korzystających z tej usługi.

Microsoft ostrzega użytkowników przed luką w Windows Print Spooler, która jest aktywnie wykorzystywana przez cyberprzestępców.

Amerykańska agencja ds. bezpieczeństwa cybernetycznego i infrastruktury (CISA) określiła lukę nazywaną „PrintNightmare” jako „krytyczną”, umożliwiającą zdalne wykonanie kodu, chociaż Microsoft nie przypisał jej jeszcze oceny ważności. Zasadniczo funkcja w usłudze buforowania wydruku systemu Windows umożliwia zdalnie uwierzytelnionemu hakerowi uruchomienie dowolnego kodu z uprawnieniami SYSTEM. „Atakujący może następnie zainstalować programy, przeglądać, zmieniać lub usuwać dane albo tworzyć nowe konta z pełnymi prawami użytkownika” — tłumaczy Microsoft.

Administratorom systemu zdecydowanie zaleca się wyłączenie usługi Windows Print Spooler na serwerach/domenach i komputerach/kontrolerach, które nie są używane do drukowania, podczas gdy innym zalecanym obejściem jest wyłączenie zdalnego drukowania przychodzącego za pomocą zasad grupy w przypadku, gdy użytkownicy nadal chcą mieć dostęp do drukowania lokalnego z bezpośrednio podłączonym urządzeniem. Ta luka w usłudze buforowania przypomina również tę odkrytą w 2016 r., a Microsoft zauważa, że ​​najnowsza luka występuje we wszystkich wersjach systemu Windows, chociaż nie jest jeszcze jasne, które wersje można wykorzystać. Obecnie trwają prace nad poprawką, którą producent może wydać poza swoim zwykłym harmonogramem, tj. wtorkowymi aktualizacjami.