W poprzednim artykule na końcu pozostawiłem taką refleksję:
"Ciekawe, czy nową łatkę też trzeba będzie poprawiać."
Jak się okazuje, tak, trzeba. Co najmniej dwa razy. Widocznie Microsoft zastosował nową politykę wydawania aktualizacji: "wydajemy co mamy i elo".
Usystematyzujmy jednak naszą obecną wiedzę:
- CVE-2021-1675 to błąd polegający na możliwości podniesienia sobie uprawnień ze zwykłego użytkownika do SYSTEMu. Dzieje się to na komputerze lokalnym
- CVE-2021-34527 polega zaś na możliwości zdalnego wykonania kodu.
Pierwsza fala łatek pomogła na chwilę - dość szybko znaleziono obejście.
Dealing with strings & filenames is hard?
— ? Benjamin Delpy (@gentilkiwi) July 7, 2021
New function in #mimikatz ?to normalize filenames (bypassing checks by using UNC instead of \\server\share format)
So a RCE (and LPE) with #printnightmare on a fully patched server, with Point & Print enabled
> https://t.co/Wzb5GAfWfd pic.twitter.com/HTDf004N7r
Łatki potem znów "dołatano", więc problem z grubsza zdawał się być już rozwiązany.
I wtem pojawia się on, kolejny bug, cały na biało
Gdy opadło konfetti po świętowaniu, szybko odkryto nową podatność oznaczoną jako CVE 2021 34481. Błąd ten pozwala na podniesienie sobie uprawnień poprzez niepoprawne wykonywanie operacji na plikach. Po uzyskaniu uprawnienia SYSTEM, atakującego już nic nie powstrzyma, podobnie jak przy poprzednich lukach.
Czy należy to zaliczać do PrintingNightmare? Trudno powiedzieć.
If you are here for information on CVE-2021-34481, you'll have to wait for my DEF CON talk. I don't consider it to be a variant of PrintNightmare. The MS advisory/CVE was a surprise to me and, as far as I'm concerned, it wasn't a coordinated disclosure.
— Jacob Baines (@Junior_Baines) July 16, 2021
Czy luka jest poważna? Cholernie!
Czy Microsoft raz na zawsze załatwi problem z buforem wydruku? Nie sądzę.
After few tweakings, #printnightmare - Episode 4.1
— ? Benjamin Delpy (@gentilkiwi) July 17, 2021
Now works from any computers, even not domain joined
User to SYSTEM
But I don't understand... Windows 11 with VBS security & TPM 2.0 don't protect me ?? pic.twitter.com/eyOjMY4pfX
Co robić, jak żyć?
Tak jak radziłem w poprzednim artykule, należy wyłączyć usługę buforu wydruku. Nie będą działać żadne drukarki (ani sieciowe, ani przewodowe), ale za to chociaż będzie bezpieczniej do czasu, kiedy Microsoft znowu wyda stosowną aktualizację (i jej nie zepsuje).
Na koniec pozostawiam pytanie: dlaczego tak banalna rzecz musi działać na tak wysokich uprawnieniach?
