Microsoft признала уязвимость удаленного выполнения кода в службе Windows Print Spooler

Microsoft признала новую уязвимость удаленного выполнения кода, которая в настоящее время затрагивает службу Windows Print Spooler. Эксплойт под названием «PrintNightmare» в настоящее время исследуется Microsoft, и компания подтвердила, что код, содержащий уязвимость, есть во всех версиях Windows, но пока не ясно, все ли версии ОС уязвимы.

Windows Sprint Spooler — это компонент, который управляет процессом печати на ПК с Windows, и уязвимость удаленного выполнения кода может быть использована, когда Windows Pint Soopler неправильно выполняет привилегированные операции с файлами. «Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM. Затем злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя», - пояснила Microsoft.

Microsoft 365 Defender customers can also refer to the threat analytics report we published on this vulnerability. The report provides tech details, guidance for mitigating the impact of this threat, and advanced hunting queries, which are published here: https://t.co/tBunCJgn6W

— Microsoft Security Intelligence (@MsftSecIntel) July 2, 2021

Пока Microsoft работает над исправлением этой уязвимости удаленного выполнения кода, компания рекомендует клиентам применять обновления безопасности, выпущенные 8 июня 2021 года. ИТ-администраторам также предлагается отключить службу Print Spooler с помощью команд Powershell, хотя это отключит возможность печати как локально, так и удаленно. Другим обходным путём является отключение входящей удаленной печати с помощью групповой политики, которая блокирует вектор удаленной атаки, разрешая локальную печать.

Вы можете узнать больше о различных обходных путях на этой странице, которую Microsoft уже обновила, добавив более подробную информацию о серьезности этой уязвимости.

Узнать другие подробности можно здесь.