S
В городе на иксах
Исследователи продолжают расчехлять Windows Print Spooler.
На этот раз после тщательного изучения API-интерфейсов печати Windows создатель Mimikatz исследователь Бенджамин Делпи раскрыл еще одну уязвимость нулевого дня, которая позволяет злоумышленнику повысить привилегии на компьютере или удаленно выполнить код.
Все благодаря функции автоматической загрузки и выполнения вредоносной библиотеки DLL, когда клиент подключается к серверу печати, находящемуся под контролем злоумышленника. Во время установки принтера поставляемое поставщиком установочное приложение может указать набор файлов любого типа, которые будут связаны с конкретной очередью печати. При запуске вредоносной DLL она будет работать с правами SYSTEM и может использоваться для выполнения любой команды на компьютере.
CERT оперативно сообщили, как можно противодействовать новой ошибке. Помочь может блокировка исходящего SMB-трафика на границе сети, чтобы предотвратить доступ к удаленному компьютеру. При этом следует помнить, что для для установки драйверов без использования SMB, злоумышленник, по-прежнему, может использовать этот метод с локальным сервером печати. Но лучший способ предотвратить эту уязвимость - ограничить Point and print списком утвержденных доверенных серверов.
Всем пользователям Microsoft Windows лишь пожелаем удачной недели.
