Η υπηρεσία Windows Print Spooler ξανά στο προσκήνιο.

Η Microsoft προειδοποιεί τους χρήστες των Windows για ένα σημαντικό σφάλμα που ακόμη δεν έχει διορθωθεί στην υπηρεσία Windows Print Spooler. Η ευπάθεια, που ονομάστηκε PrintNightmare, αποκαλύφθηκε νωρίτερα αυτήν την εβδομάδα αφού ερευνητές ασφαλείας το δημοσίευσαν κατά λάθος. Παρόλο που η Microsoft δεν έχει αξιολογήσει την ευπάθεια, επιτρέπει στους εισβολείς να εκτελούν απομακρυσμένα κώδικά με δικαιώματα σε επίπεδο συστήματος, κάτι που είναι από μόνο του κρίσιμο και πολύ προβληματικό.

Οι ερευνητές της Sanfor δημοσίευσαν το PoC (proof-of-concept – τεκμήριο απόδειξης) σε μία λανθασμένη επικοινωνία που είχαν με τη Microsoft. Ο κώδικας διαγράφθηκε γρήγορα αλλά πρόλαβε να ανέβει στο GitHub. Οι ερευνητές σχεδίαζαν να αναλύσουν πολλές ευπάθειες zero-day στην υπηρεσία Windows Print Spooler στο ετήσιο συνέδριο ασφαλείας Black Hat αργότερα αυτό το μήνα. Πίστευαν πως η Microsoft είχε ήδη επιδιορθώσει αυτήν την ιδιαίτερη ευπάθεια, αφού η εταιρεία είχε κυκλοφορήσει ενημερώσεις κώδικα για ελαττώματα που αφορούσαν την υπηρεσία Print Spooler.

Χρειάστηκαν λίγες ημέρες προτού η Microsoft ξεκινήσει να προειδοποιεί σχετικά με την zero-day ευπάθεια, με την εταιρεία να προειδοποιεί ακόμη και για το γεγονός πως ήδη κάποιοι εισβολείς μπορεί να την εκμεταλλεύονται. Η ευπάθεια επιτρέπει στους εισβολείς να εκτελούν κώδικα απομακρυσμένα, με αποτέλεσμα να μπορούν πιθανώς να εγκαταστήσουν προγράμματα, να τροποποιήσουν δεδομένα αλλά και να δημιουργήσουν νέους λογαριασμούς με πλήρη δικαιώματα διαχειριστή.

Η Microsoft παραδέχεται πως ο κώδικας που περιέχει την ευπάθεια υπάρχει σε όλες τις εκδόσεις των Windows, με την υπηρεσία Print Spooler να εκτελείται από προεπιλογή στα Windows. Η Microsoft εργάζεται σε μια ενημερωμένη έκδοση κώδικα, αλλά ως ότου είναι διαθέσιμη, η εταιρεία συνιστά την απενεργοποίηση της υπηρεσίας Print Spooler (εάν αυτή μπορεί να αποτελεί επιλογή για επιχειρήσεις) ή την απενεργοποίηση της εισερχόμενης απομακρυσμένης εκτύπωσης μέσω του Group Policy. Η CISA (Υπηρεσία Ασφάλειας στον Κυβερνοχώρο) συνέστησε στους διαχειριστές να απενεργοποιήσουν την υπηρεσία Print Spooler σε Domain Controllers και συστήματα τα οποία δεν εκτυπώνουν.

Τα θέματα ευπάθειας στην υπηρεσία Print Spooler αποτελούν πονοκέφαλο για τους διαχειριστές εδώ και χρόνια. Το πιο περιβόητο παράδειγμα ήταν ο ιός Stuxnet, ο οποίος χρησιμοποιούσε πολλαπλές zero-day ευπάθειες.

  • Sad 2