Как уменьшить уязвимость диспетчера очереди печати (Print Spooler)
Вчера Microsoft выпустила несколько обновлений Windows для исправления широко известной уязвимости PrintNightmare в службе диспетчера очереди печати Windows.
По данным Microsoft, эта уязвимость затрагивает все версии Windows 10, включая последнее обновление за май 2021 года (версия 21H1) и версию 20H2 (обновление за октябрь 2020 года).
Чтобы развернуть исправление Microsoft, вам необходимо проверить наличие обновлений в разделе «Обновления и безопасность»> «Центр обновления Windows», применить последнее июльское обновление и перезагрузить систему при появлении соответствующего запроса.
Кроме того, вы можете установить экстренное обновление вручную из каталога Центра обновления Майкрософт, если вы не можете сделать это с помощью обычной процедуры Центра обновления Windows.
Однако исследователи обнаружили, что исправление Microsoft не является полным, и злоумышленники все еще могут использовать уязвимость, чтобы получить доступ к системе. К счастью, вы можете временно отключить службу Windows Print Spooler, чтобы уменьшить уязвимость, до тех пор, пока не будет выпущено надлежащее исправление.
В этом руководстве мы выделим шаги по отключению службы диспетчера очереди печати Windows и уменьшению уязвимости PrintNightmare CVE-2021-34527.
Отключить службу диспетчера очереди печати в Windows 10 с помощью PowerShell
Чтобы уменьшить уязвимость PrintNightmare с помощью PowerShell, выполните следующие действия:
Если вы хотите снова включить службу диспетчера очереди печати, выполните следующие действия.
Отключить службу диспетчера очереди печати в Windows 10 с помощью редактора групповой политики
Чтобы уменьшить уязвимость PrintNightmare с помощью редактора групповой политики в Windows 10 Pro и Enterprise, выполните следующие действия:
Откройте меню «Пуск» или Windows Search и введите gpedit.msc, чтобы открыть редактор локальной групповой политики.
В редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера> Административные шаблоны> Принтеры.
Дважды нажмите «Разрешить диспетчеру печати принимать политику клиентских подключений».
Выберите вариант Отключено.
Нажмите на кнопку «Применить» и выберите «ОК».
Когда политика отключена, Microsoft сообщает, что диспетчер очереди печати автоматически отклоняет клиентские подключения и запрещает пользователям совместно использовать принтеры. Однако все принтеры, к которым в настоящее время используется общий доступ, по-прежнему будут использоваться совместно.
Чтобы изменения этой политики вступили в силу, необходимо перезапустить диспетчер очереди печати.
Если вы хотите повторно включить диспетчер очереди печати с помощью редактора групповой политики, выполните следующие действия:
Откройте меню «Пуск» и введите gpedit.msc, чтобы открыть редактор локальной групповой политики.
В редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера> Административные шаблоны> Принтеры.
Дважды нажмите «Разрешить диспетчеру печати принимать политику клиентских подключений».
Выберите вариант Не настроено или Включено.
Нажмите на кнопку «Применить» и выберите «ОК».
https://www.bleepingcomputer.com/news/microsoft/how-to-mitigate-print-spooler-vulnerability-on-windows-10/
По данным Microsoft, эта уязвимость затрагивает все версии Windows 10, включая последнее обновление за май 2021 года (версия 21H1) и версию 20H2 (обновление за октябрь 2020 года).
Чтобы развернуть исправление Microsoft, вам необходимо проверить наличие обновлений в разделе «Обновления и безопасность»> «Центр обновления Windows», применить последнее июльское обновление и перезагрузить систему при появлении соответствующего запроса.
Кроме того, вы можете установить экстренное обновление вручную из каталога Центра обновления Майкрософт, если вы не можете сделать это с помощью обычной процедуры Центра обновления Windows.
Однако исследователи обнаружили, что исправление Microsoft не является полным, и злоумышленники все еще могут использовать уязвимость, чтобы получить доступ к системе. К счастью, вы можете временно отключить службу Windows Print Spooler, чтобы уменьшить уязвимость, до тех пор, пока не будет выпущено надлежащее исправление.
В этом руководстве мы выделим шаги по отключению службы диспетчера очереди печати Windows и уменьшению уязвимости PrintNightmare CVE-2021-34527.
Отключить службу диспетчера очереди печати в Windows 10 с помощью PowerShell
Чтобы уменьшить уязвимость PrintNightmare с помощью PowerShell, выполните следующие действия:
1. Щелкните правой кнопкой мыши меню «Пуск» или нажмите Windows + X.
2. Щелкните «Windows PowerShell (Admin)».
3. Введите следующую команду, чтобы остановить службу диспетчера очереди печати:
Stop-Service -Name Spooler -Force
4. Введите следующую команду, чтобы запретить повторный запуск службы печати в будущем.
Set-Service -Name Spooler -StartupType Disabled
5. Close PowerShell window.
Если вы хотите снова включить службу диспетчера очереди печати, выполните следующие действия.
1. Щелкните правой кнопкой мыши меню «Пуск» или нажмите Windows + X.
2. Щелкните «Windows PowerShell (Admin)».
3. Введите следующую команду, чтобы включить службу диспетчера очереди печати:
Set-Service -Name Spooler -StartupType Automatic
4. Введите следующую команду, чтобы перезапустить службу печати:
Start-Service -Name Spooler
5. Закройте окно PowerShell.
Отключить службу диспетчера очереди печати в Windows 10 с помощью редактора групповой политики
Чтобы уменьшить уязвимость PrintNightmare с помощью редактора групповой политики в Windows 10 Pro и Enterprise, выполните следующие действия:
Откройте меню «Пуск» или Windows Search и введите gpedit.msc, чтобы открыть редактор локальной групповой политики.
В редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера> Административные шаблоны> Принтеры.
Дважды нажмите «Разрешить диспетчеру печати принимать политику клиентских подключений».
Выберите вариант Отключено.
Нажмите на кнопку «Применить» и выберите «ОК».
Когда политика отключена, Microsoft сообщает, что диспетчер очереди печати автоматически отклоняет клиентские подключения и запрещает пользователям совместно использовать принтеры. Однако все принтеры, к которым в настоящее время используется общий доступ, по-прежнему будут использоваться совместно.
Чтобы изменения этой политики вступили в силу, необходимо перезапустить диспетчер очереди печати.
Если вы хотите повторно включить диспетчер очереди печати с помощью редактора групповой политики, выполните следующие действия:
Откройте меню «Пуск» и введите gpedit.msc, чтобы открыть редактор локальной групповой политики.
В редакторе групповой политики перейдите по следующему пути: Конфигурация компьютера> Административные шаблоны> Принтеры.
Дважды нажмите «Разрешить диспетчеру печати принимать политику клиентских подключений».
Выберите вариант Не настроено или Включено.
Нажмите на кнопку «Применить» и выберите «ОК».
https://www.bleepingcomputer.com/news/microsoft/how-to-mitigate-print-spooler-vulnerability-on-windows-10/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Корпорация Майкрософт выпустила экстренное обновление безопасности KB5004948 для устранения уязвимости Windows Print Spooler PrintNightmare во всех выпусках Windows 10 1607 и Windows Server 2016.
«Сейчас выпущено обновление для всех уязвимых версий Windows, которые все еще поддерживаются», - сообщила Microsoft в центре сообщений Windows.
Ошибка PrintNightmare, зарегистрированная как CVE-2021-34527, позволяет злоумышленникам захватить затронутые серверы с помощью удаленного выполнения кода (RCE) с привилегиями SYSTEM.
Подробные инструкции по установке этих внепплановых обновлений безопасности доступны в документах поддержки, ссылки на которые приведены ниже:
Windows 10 версии 21H1 (KB5004945)
Windows 10 версии 20H1 (KB5004945)
Windows 10 версии 2004 (KB5004945)
Windows 10 версии 1909 (KB5004946)
Windows 10 версии 1809 и Windows Server 2019 (KB5004947)
Windows 10 версии 1607 и Windows Server 2016 (KB5004948)
Windows 10 версии 1507 (KB5004950)
Windows Server 2012 (ежемесячный накопительный пакет KB5004956 / только для безопасности KB5004960)
Windows 8.1 и Windows Server 2012 R2 (ежемесячный накопительный пакет KB5004954 / только для безопасности KB5004958)
Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (ежемесячный накопительный пакет обновлений KB5004953 / только для безопасности KB5004951)
Windows Server 2008 SP2 (ежемесячный накопительный пакет KB5004955 / только для безопасности KB5004959)
«Microsoft рекомендует немедленно установить это обновление на все поддерживаемые клиентские и серверные операционные системы Windows, начиная с устройств, на которых в настоящее время размещается роль сервера печати», - добавила компания.
«У вас также есть возможность настроить параметр реестра RestrictDriverInstallationToAdministrators, чтобы запретить пользователям, не являющимся администраторами, устанавливать подписанные драйверы принтера на сервер печати. Для получения дополнительной информации см. KB5005010».
https://www.bleepingcomputer.com/news/security/microsoft-printnightmare-now-patched-on-all-windows-versions/
Стремясь первыми опубликовать доказательство концепции (PoC), исследователи опубликовали описание и демонстрационный эксплойт, чтобы продемонстрировать уязвимость, получившую название PrintNightmare. Только чтобы узнать, что они случайно предупредили мир о новой уязвимости нулевого дня.
Что случилось?
В июне Microsoft исправила уязвимость в диспетчере очереди печати Windows, которая значилась как CVE-2021-1675. Сначала это было классифицировано как уязвимость, связанная с повышением привилегий (EoP). Это означает, что кто-то с ограниченным доступом к системе может повысить свой уровень привилегий, дав ему больше власти над уязвимой системой. Этот тип уязвимости является серьезным, особенно если он обнаружен в широко используемой службе, такой как диспетчер очереди печати Windows. Через несколько недель после патча Microsoft повысила уровень серьезности уязвимости удаленного выполнения кода (RCE). Уязвимости RCE позволяют злоумышленнику выполнить свой код на другом компьютере в той же сети.
Как обычно, общий совет заключался в установке исправлений от Microsoft, и все готово. Перенесемся еще на неделю, и один исследователь объявил, что нашел способ использовать уязвимость как для локального повышения привилегий, так и для удаленного выполнения кода. На самом деле это часто случается, когда исследователи реконструируют патч.
Только в этом случае это имело неожиданные последствия. Другая группа исследователей также обнаружила уязвимость RCE в службе диспетчера очереди печати. Они назвали свой PrintNightmare и посчитали, что это то же самое, что и CVE-2021-1675. Они работали над презентацией, которая должна была состояться на конференции по безопасности Black Hat. Но теперь они опасались, что другая команда наткнулась на ту же уязвимость, поэтому они опубликовали свою работу, полагая, что она покрыта патчем, уже выпущенным Microsoft.
Но исправление для CVE-2021-1675, похоже, не помогло устранить уязвимость PrintNightmare. Оказалось, что PrintNightmare и CVE-2021-1675 на самом деле были двумя очень похожими, но разными уязвимостями в диспетчере очереди печати.
И при этом казалось, что команда PrintNightmare невольно безответственно раскрыла новую уязвимость нулевого дня. (Раскрытие уязвимостей считается ответственным, если поставщику дается достаточно времени для выпуска исправления.)
С тех пор некоторые исследователи безопасности утверждали, что CVE-2021-1675 и PrintNightmare - одно и то же, а другие сообщали, что исправление CVE-2021-1675 работает в некоторых системах.
Независимо от того, одинаковы они или нет, не подлежит сомнению то, что существуют живые системы Windows, в которых PrintNightmare не может быть исправлен. И, к сожалению, кажется, что системы, в которых исправление не работает, являются контроллерами домена Windows, что, по сути, является наихудшим сценарием.
PrintNightmare
Служба диспетчера очереди печати встроена в операционную систему Windows и управляет процессом печати. По умолчанию он работает на большинстве компьютеров с Windows, включая серверы Active Directory.
Он выполняет предварительные функции поиска и загрузки драйвера печати, создания заданий на печать и, в конечном итоге, печати. Этот сервис существует «всегда», и он был плодотворным районом для поиска уязвимостей, многие недостатки были обнаружены и исправлены за эти годы. Помните Stuxnet? Stuxnet также использовал уязвимость в службе диспетчера очереди печати как часть набора уязвимостей, которые распространял червь.
PrintNightmare может быть запущен непривилегированным пользователем, пытающимся загрузить вредоносный драйвер удаленно. Используя эту уязвимость, исследователи смогли получить привилегии SYSTEM и удаленное выполнение кода с наивысшими привилегиями в полностью исправленной системе.
Чтобы воспользоваться уязвимостью, злоумышленники сначала должны получить доступ к сети с уязвимой машиной. Хотя это обеспечивает некоторую степень защиты, стоит отметить, что существуют подпольные рынки, где преступники могут приобрести такой доступ за несколько долларов.
Если они могут защитить любой вид доступа, они потенциально могут использовать PrintNightmare, чтобы превратить обычного пользователя в всемогущего администратора домена. В качестве администратора домена они могли действовать практически безнаказанно, распространяя программы-вымогатели, удаляя резервные копии и даже отключая программное обеспечение безопасности.
Смягчение
Учитывая большое количество машин, которые могут быть уязвимы для PrintNightmare, и то, что было опубликовано несколько методов использования этой уязвимости, весьма вероятно, что вскоре появятся варианты злонамеренного использования этой уязвимости.
Есть несколько вещей, которые вы можете сделать, пока уязвимость не будет исправлена. Microsoft, вероятно, попытается исправить уязвимость до следующего вторника (12 июля), но до тех пор вы можете:
Отключите службу диспетчера очереди печати на машинах, которым она не нужна. Обратите внимание, что остановки службы без отключения может быть недостаточно.
Убедитесь, что для систем, которым действительно нужна работающая служба диспетчера очереди печати, нет доступа к Интернету.
Я понимаю, что вышеизложенное будет нелегко или даже осуществимо в каждом случае. Для тех машин, которым нужна служба диспетчера очереди печати и которые также должны быть доступны извне локальной сети, очень тщательно ограничивайте и отслеживайте события доступа и разрешения. Также любой ценой избегайте запуска службы диспетчера очереди печати на любых контроллерах домена.
Для дальнейших мер полезно знать, что эксплойт работает, удаляя DLL в подкаталог в C: \ Windows \ System32 \ spool \ drivers, чтобы системные администраторы могли создать правило «Запретить изменение» для этого каталога и его подкаталогов, чтобы что даже учетная запись SYSTEM не может разместить в них новую DLL.
Эта ситуация продолжает развиваться, и мы обновим эту статью, если появится дополнительная информация.
Обновление 2 июля 2021 г.
Microsoft признала эту уязвимость и получила CVE-2021-34527. В своем описании Microsoft также предоставляет дополнительный обходной путь помимо отключения службы диспетчера очереди печати.
Отключить входящую удаленную печать через групповую политику
Вы также можете настроить параметры через групповую политику следующим образом:
Конфигурация компьютера / Административные шаблоны / Принтеры
Отключите политику «Разрешить диспетчеру очереди печати принимать клиентские подключения:», чтобы блокировать удаленные атаки.
Влияние обходного пути Эта политика блокирует вектор удаленной атаки, предотвращая входящие операции удаленной печати. Система больше не будет работать в качестве сервера печати, но локальная печать на напрямую подключенное устройство по-прежнему будет возможна.
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/07/printnightmare-0-day-can-be-used-to-take-over-windows-domain-controllers/
В четверг вечером Microsoft выпустила информационный бюллетень по поводу новой уязвимости CVE-2021-34481, связанной с повышением привилегий в диспетчере очереди печати Windows, которую обнаружил исследователь безопасности Dragos Джейкоб Бейнс.
В отличие от недавно исправленной уязвимости PrintNightmare, эту уязвимость можно использовать только локально для получения повышенных привилегий на устройстве.
«Атака на самом деле не связана с PrintNightmare. Как вы знаете, PN может выполняться удаленно, и это локальная уязвимость», - подтвердил BleepingComputer Бейнс.
В настоящее время мало что известно об уязвимости, в том числе о том, какие версии Windows уязвимы.
Однако Бейнс поделился с BleepingComputer, что это связано с драйвером принтера.
Доступны меры по смягчению последствий
Хотя Microsoft не выпускала обновлений безопасности для устранения этой уязвимости, они предоставили меры по смягчению последствий, которые администраторы могут использовать, чтобы заблокировать злоумышленниками использование уязвимости.
В настоящее время доступен вариант - отключить службу диспетчера очереди печати на уязвимом устройстве.
Вариант 1. Отключите службу диспетчера очереди печати
Если отключение службы диспетчера очереди печати подходит для вашего предприятия, используйте следующие команды PowerShell:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType отключено
Важно отметить, что если вы отключите диспетчер очереди печати на устройстве, устройство больше не будет печатать на локальном или удаленном принтере.
https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-guidance-on-new-windows-print-spooler-vulnerability/
Еще одна уязвимость нулевого дня в Windows Print Spooler может предоставить злоумышленнику административные привилегии на компьютере с Windows через удаленный сервер под контролем злоумышленника и функцию «Файлы, относящиеся к очереди».
В прошлом месяце исследователь безопасности случайно обнаружил уязвимость диспетчера очереди печати Windows нулевого дня, известную как PrintNightmare, которую Microsoft отслеживает как CVE-2021-34527.
Использование этой уязвимости позволяет злоумышленнику повысить привилегии на машине или удаленно выполнить код.
Microsoft выпустила обновление для системы безопасности, чтобы исправить уязвимость, но исследователи определили, что исправление можно обойти при определенных условиях.
После неполного исправления исследователи безопасности тщательно изучили API-интерфейсы печати Windows и обнаружили дополнительные уязвимости, влияющие на диспетчер очереди печати Windows.
Удаленный сервер печати, использованный в атаке
https://www.bleepingcomputer.com/news/microsoft/new-windows-print-spooler-zero-day-exploitable-via-remote-print-servers/
Исследователь создал удаленный сервер печати, позволяющий любому пользователю Windows с ограниченными правами получить полный контроль над устройством, просто установив драйвер печати.
В июне исследователь безопасности случайно обнаружил уязвимость диспетчера очереди печати Windows нулевого дня, известную как PrintNightmare (CVE-2021-34527), которая позволяет удаленно выполнять код и повышать привилегии.
Хотя Microsoft выпустила обновление безопасности для устранения уязвимости, исследователи быстро нашли способы обойти исправление при определенных условиях.
С тех пор исследователи продолжали разрабатывать новые способы эксплуатации уязвимости, при этом один исследователь создал доступный через Интернет сервер печати, позволяющий любому открывать командную строку с правами администратора.
Теперь любой может получить привилегии Windows SYSTEM
Исследователь безопасности и создатель Mimikatz Бенджамин Делпи был в авангарде продолжения исследований PrintNightmare, выпуская несколько обходов и обновлений для эксплойтов с помощью специально созданных драйверов принтеров и злоупотребления Windows API.
Чтобы проиллюстрировать свое исследование, Делпи создал доступный в Интернете сервер печати на \\ printnightmare [.] Gentilkiwi [.] Com, который устанавливает драйвер печати и запускает DLL с привилегиями SYSTEM.
Первоначально запущенная DLL будет записывать файл журнала в папку C: \ Windows \ System32, которая должна быть доступна для записи только пользователям с повышенными привилегиями.
Поскольку некоторые люди не верили, что его начальный драйвер печати может повышать привилегии, во вторник Дельпи модифицировал драйвер, чтобы вместо этого запускать командную строку SYSTEM.
Этот новый метод позволяет любому, включая злоумышленников, получить административные привилегии, просто установив удаленный драйвер печати. Получив права администратора на машине, они могут запускать любую команду, добавлять пользователей или устанавливать любое программное обеспечение, фактически давая им полный контроль над системой.
Этот метод особенно полезен для злоумышленников, которые взламывают сети для развертывания программ-вымогателей, поскольку он обеспечивает быстрый и легкий доступ к административным привилегиям на устройстве, что помогает им распространяться по сети.
BleepingComputer установил драйвер печати Delpy на полностью исправленный ПК с Windows 10 21H1 как пользователь со «Стандартными» (ограниченными) привилегиями, чтобы протестировать эту технику.
Как видите, после того, как мы установили принтер и отключили Защитник Windows, который обнаруживает вредоносный принтер, была открыта командная строка, которая дала нам полные системные привилегии на компьютере.
Когда мы спросили Дельпи, обеспокоен ли он тем, что злоумышленники злоупотребляют его сервером печати, он сказал нам, что одной из движущих причин, которые он создал, является давление на «Microsoft, чтобы сделать некоторые приоритеты» для исправления ошибки.
Он также сказал, что невозможно определить, какие IP-адреса принадлежат исследователям или злоумышленникам. Тем не менее, у него есть брандмауэры российских IP-адресов, которые, по всей видимости, злоупотребляют серверами печати.
Дельпи предупредил, что это не конец злоупотреблений диспетчером очереди печати Windows, особенно с учетом нового исследования, опубликованного на этой неделе на конференциях по безопасности Black Hat и Def Con.
https://www.bleepingcomputer.com/news/microsoft/remote-print-server-gives-anyone-windows-admin-privileges-on-a-pc/
Microsoft выпустила уведомление о другой уязвимости диспетчера очереди печати Windows нулевого дня, отслеживаемой как CVE-2021-36958, которая позволяет локальным злоумышленникам получить системные привилегии на компьютере.
Эта уязвимость является частью класса ошибок, известных как «PrintNightmare», которые злоупотребляют параметрами конфигурации для диспетчера очереди печати Windows, драйверов печати и функции Windows Point and Print.
Microsoft выпустила обновления безопасности как в июле, так и в августе, чтобы исправить различные уязвимости PrintNightmare.
Однако уязвимость, обнаруженная исследователем безопасности Бенджамином Делпи, по-прежнему позволяет злоумышленникам быстро получить системные привилегии, просто подключившись к удаленному серверу печати
Эта уязвимость использует директиву реестра CopyFile для копирования файла DLL, который открывает командную строку для клиента вместе с драйвером печати при подключении к принтеру.
В то время как недавние обновления безопасности Microsoft изменили процедуру установки нового драйвера принтера, так что для нее требуются права администратора, вам не потребуется вводить права администратора для подключения к принтеру, если этот драйвер уже установлен.
Кроме того, если драйвер существует на клиенте и, следовательно, не требует установки, подключение к удаленному принтеру все равно будет выполнять директиву CopyFile для пользователей без прав администратора. Эта слабость позволяет скопировать DLL Delpy на клиент и запустить ее, чтобы открыть командную строку уровня SYSTEM.
Microsoft выпускает рекомендации по CVE-2021-36958
Сегодня Microsoft выпустила уведомление о новой уязвимости диспетчера очереди печати Windows, которая отслеживается как CVE-2021-36958.
«Уязвимость удаленного выполнения кода существует, когда служба диспетчера очереди печати Windows неправильно выполняет привилегированные файловые операции», - говорится в сообщении CVE-2021-36958.
«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя».
«Чтобы обойти эту уязвимость, остановите и отключите службу диспетчера очереди печати».
Уилл Дорманн, аналитик уязвимостей CERT / CC, сообщил BleepingComputer, что Microsoft подтвердила, что CVE-2021-36958 соответствует эксплойту PoC, опубликованному Delpy в Twitter и описанному выше.
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-another-windows-print-spooler-zero-day-bug/
Microsoft выпустила обновление для системы безопасности, чтобы исправить последние оставшиеся уязвимости нулевого дня PrintNightmare, которые позволили злоумышленникам быстро получить административные привилегии на устройствах Windows.
В июне была случайно обнаружена уязвимость диспетчера очереди печати Windows нулевого дня, получившая название PrintNightmare (CVE-2021-34527). Эта уязвимость использует функцию Windows Point and Print для удаленного выполнения кода и получения привилегий локальной системы.
Хотя Microsoft выпустила два обновления безопасности для исправления различных уязвимостей PrintNightmare, другая уязвимость, публично раскрытая исследователем безопасности Бенджамином Делпи, по-прежнему позволяла злоумышленникам быстро получить системные привилегии, просто подключившись к удаленному серверу печати.
Новое обновление безопасности исправляет ошибку PrintNightmare
В сегодняшних обновлениях безопасности Patch Tuesday за сентябрь 2021 года Microsoft выпустила новое обновление безопасности для CVE-2021-36958, которое устраняет оставшуюся уязвимость PrintNightmare.
Делпи, который тестировал свой эксплойт с новым обновлением безопасности, подтвердил, что ошибка исправлена.
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-remaining-windows-printnightmare-vulnerabilities/