W poprzednim artykule na końcu pozostawiłem taką refleksję:
"Ciekawe, czy nową łatkę też trzeba będzie poprawiać."
Jak się okazuje, tak, trzeba. Co najmniej dwa razy. Widocznie Microsoft zastosował nową politykę wydawania aktualizacji: "wydajemy co mamy i elo".
Usystematyzujmy jednak naszą obecną wiedzę:
- CVE-2021-1675 to błąd polegający na możliwości podniesienia sobie uprawnień ze zwykłego użytkownika do SYSTEMu. Dzieje się to na komputerze lokalnym
- CVE-2021-34527 polega zaś na możliwości zdalnego wykonania kodu.
Pierwsza fala łatek pomogła na chwilę - dość szybko znaleziono obejście.
Łatki potem znów "dołatano", więc problem z grubsza zdawał się być już rozwiązany.
I wtem pojawia się on, kolejny bug, cały na biało
Gdy opadło konfetti po świętowaniu, szybko odkryto nową podatność oznaczoną jako CVE 2021 34481. Błąd ten pozwala na podniesienie sobie uprawnień poprzez niepoprawne wykonywanie operacji na plikach. Po uzyskaniu uprawnienia SYSTEM, atakującego już nic nie powstrzyma, podobnie jak przy poprzednich lukach.
Czy należy to zaliczać do PrintingNightmare? Trudno powiedzieć.
Czy luka jest poważna? Cholernie!
Czy Microsoft raz na zawsze załatwi problem z buforem wydruku? Nie sądzę.
Co robić, jak żyć?
Tak jak radziłem w poprzednim artykule, należy wyłączyć usługę buforu wydruku. Nie będą działać żadne drukarki (ani sieciowe, ani przewodowe), ale za to chociaż będzie bezpieczniej do czasu, kiedy Microsoft znowu wyda stosowną aktualizację (i jej nie zepsuje).
Na koniec pozostawiam pytanie: dlaczego tak banalna rzecz musi działać na tak wysokich uprawnieniach?