Կասպերսկի. Չարագործները շահագործում են PrintNightmare վտանգավոր խոցելիությունը Windows-ի տպելու հերթի դիսպետչերում

Հունիսի վերջին կիբեռանվտանգության գծով հետազոտողները սկսել են ակտիվորեն քննարկել Windows-ի տպագրության հերթի դիսպետչերի (Print Spooler) խոցելիությունը, որը ստացել է PrintNightmare անվանումը: Ինչպես հաղորդում է «Կասպերսկի» ընկերությունը, ի սկզբանե ենթադրվում էր, որ Microsoft-ի հունիսյան պատչը, որը թողարկվել է պատչերի հերթական երեքշաբթի օրը, ազատում է այդ խնդրից: Սակայն հիմա ակնհայտ է դարձել, որ իրականում խոսքը երկու խոցելիության մասին է՝ CVE-2021-1675 և CVE-2021-34527, և կարկատանն օգնում է միայն առաջինի դեպքում։ Ընդ որում, հնարավոր է, որ չարագործները կարող են օգտագործել դրանք Windows-ի վրա հիմնված ցանկացած սերվերը կամ համակարգիչը վերահսկողության տակ առնելու համար, քանի որ տպելու հերթի դիսպետչերը միացված է բոլոր համակարգերում լռելյայն, այդ թվում, օրինակ, դոմենների կարգավարների և համակարգի ադմինիստրատորների իրավունքներով մեքենաների վրա:

Համացանցում հրապարակվել են նյութեր, որոնք ցույց են տալիս PrintNightmare-ի շահագործման հնարավորությունը։ Հետազոտողները վստահ էին, որ խնդիրն արդեն լուծված է հունիսյան պատչով, և շտապել են իրենց հետազոտությամբ կիսվել փորձագետների համայնքի հետ: Սակայն պարզվել է, որ չնայած թարմացմանը, էքսպլոյտը դեռևս վտանգ է ներկայացնում, քանի որ խոցելիությունները ոչ թե մեկն են, այլ երկուսը: Նյութերը անմիջապես ջնջվել են, բայց շատերը հասցրել են ծանոթանալ դրանց։ Հավանաբար, այդ շատերի մեջ կային նաև չարագործներ։

«CVE-2021-1675-ն արտոնությունների էսկալացիայի խոցելիությունների դասից է: Դրա շնորհիվ սովորական օգտագործողի իրավունքներով գրոհողը կարող է կիրառել հատուկ ստեղծված վնասաբեր DLL-ֆայլ՝ էքսպոյտը գործարկելու համար։ Բայց շահագործման համար նա արդեն պետք է գտնվի խոցելի մեքենայում։ Microsoft-ը դրա շահագործման հավանականությունը գնահատում է բավական ցածր։ CVE-2021-34527-ը շատ ավելի վտանգավոր է. դա կոդի հեռավար գործարկման (RCE) խոցելիություն է: Սկզբունքը նույնն է, բայց դրա շնորհիվ չարագործները կարող են հեռավար ներբեռնել վնասաբեր շտեմարան։ Microsoft-ի տվյալներով ՝ չարագործներն արդեն շահագործում են այդ խոցելիությունը։ Չարագործները կարող են օգտագործել PrintNightmare-ը կորպորատիվ ենթակառուցվածքներում պահվող տվյալներին հասանելիության, և, որպես հետևանք, գաղտնագրող-շորթող ծրագրերի միջոցով գրոհների համար»,- ընդգծում են ընկերության փորձագետները։

Ընկերության ենթակառուցվածքները PrintNightmare-ից պաշտպանելու համար նրանք խորհուրդ են տալիս շտապ տեղադրել Microsoft-ի պատչերը՝ հունիսյանը, որը փակում է CVE-2021-1675 խոցելիությունը, և, ամենագլխավորը, հուլիսյանը, որը թույլ է տալիս պաշտպանել համակարգը CVE-2021-34527-ից: Արժե մտածել այն մեքենաներում տպելու հերթի դիսպետչերի ծառայությունը սկզբունքորեն անջատելու մասին, որոնց այն հաստատ անհրաժեշտ չէ: Բացի այդ, կորպորատիվ ենթակառուցվածքի բոլոր սերվերներն ու համակարգիչները պետք է ապահովված լինեն պաշտպանական լուծումներով, որոնք կարող են բացահայտել ինչպես հայտնի, այնպես էլ մինչ այժմ չհայտնաբերված խոցելիությունների, այդ թվում ՝ PrintNightmare-ի շահագործման փորձերը: