[Информационная безопасность] Security Week 28: уязвимости PrintNightmare в деталях
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали разбор двух уязвимостей в системе печати Windows, получившие название PrintNightmare. В среду 7 июля уязвимости закрыли патчем для Windows 7, 10 и серверных ОС начиная с Windows Server 2008 SP2.
Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows.
Извините, данный ресурс не поддреживается. :(
В разборе «Лаборатории» упомянуты две уязвимости в системе печати: CVE-2021-1675 и CVE-2021-34527. Они используют похожий механизм эксплуатации, но если первую уязвимость можно использовать только локально, то вторую — еще и удаленно. Ошибка в коде приводит к недостаточной валидации ввода в ходе добавления нового принтера. В результате появляется возможность загрузить в систему вредоносный DLL-файл. Повторная попытка «добавить принтер» позволяет обратиться к этому файлу, который запустится с системными привилегиями.
Система Print Spooler работает в Windows (в том числе в серверных версиях) по умолчанию. Наибольшую опасность представляет атака именно на серверы, так что Microsoft выпустила рекомендации по отключению системы печати на контроллерах домена.
После выпуска патча появились сообщения, что он не закрывает уязвимость целиком, но, по данным Microsoft, речь идет о настройках в реестре системы, которые делают ее уязвимой по определению. Еще одну дыру в системе печати обнаружили в прошлом году, и тогда исследователи намекали на причину многочисленных проблем в этой службе: древний код, работающий еще с конца 90-х.
Что еще произошло:
Еще один краткий отчет экспертов «Лаборатории Касперского» посвящен атаке шифровальщика REvil, нацеленной на поставщиков услуг удаленного администрирования и их клиентов. По данным исследователей, к 5 июля, через 4 дня после начала атаки, было зафиксировано более 5000 попыток взлома.
Команда GitHub Security провела аудит открытого ПО Fail2Ban, используемого для ограничения брутфорс-атак на серверы SSH. И не нашла каких-либо серьезных уязвимостей.
Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли.
Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Мессенджеры, Законодательство в IT] В Еврокомиссию пожаловались на спорное изменение политики WhatsApp
- [Информационная безопасность, Программирование, Квантовые технологии] Взлом квантовой программы
- [Информационная безопасность, Мессенджеры, Законодательство в IT] Создатель бота для пробива «Глаз Бога» обвинил Telegram в незаконных действиях и собирается выпустить свой мессенджер
- [Информационная безопасность, Гаджеты, Смартфоны] На вторичном рынке появились смартфоны, которые ФБР использовала для шпионажа
- [Информационная безопасность, IT-инфраструктура, Хранение данных, Хранилища данных] Немного мыслей о будущем DCAP, или Станут ли они однажды частью ОС
- [Информационная безопасность, Серверное администрирование] Ключевая информация об атаке вирусом-вымогателем REviL на компанию Kaseya (перевод)
- [Информационная безопасность, IT-компании] Приложение для стиральной машины Samsung требует доступ к контактам и геолокации (перевод)
- [Информационная безопасность, Системное администрирование, Сетевые технологии] SoftEther VPN — быстрая настройка
- [Информационная безопасность, IT-инфраструктура, IT-компании] В Нью-Йорке заработал центр киберзащиты при поддержке Amazon и IBM
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Разработка под Windows, Софт] Проблема использования RunAs на серверах
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_printnightmare, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 08:23
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали разбор двух уязвимостей в системе печати Windows, получившие название PrintNightmare. В среду 7 июля уязвимости закрыли патчем для Windows 7, 10 и серверных ОС начиная с Windows Server 2008 SP2.  Проблемы в службе печати Windows, приводящие к выполнению произвольного кода, представляют интерес по двум причинам. Во-первых, это очень похоже на более раннюю уязвимость в Windows Print Spooler, использованную в атаке Stuxnet. Во-вторых, первооткрыватели бага случайно выложили PoC-код на GitHub еще в середине июня, когда вендор даже не анонсировал активно эксплуатируемую дыру в Windows. Извините, данный ресурс не поддреживается. :( В разборе «Лаборатории» упомянуты две уязвимости в системе печати: CVE-2021-1675 и CVE-2021-34527. Они используют похожий механизм эксплуатации, но если первую уязвимость можно использовать только локально, то вторую — еще и удаленно. Ошибка в коде приводит к недостаточной валидации ввода в ходе добавления нового принтера. В результате появляется возможность загрузить в систему вредоносный DLL-файл. Повторная попытка «добавить принтер» позволяет обратиться к этому файлу, который запустится с системными привилегиями. Система Print Spooler работает в Windows (в том числе в серверных версиях) по умолчанию. Наибольшую опасность представляет атака именно на серверы, так что Microsoft выпустила рекомендации по отключению системы печати на контроллерах домена. После выпуска патча появились сообщения, что он не закрывает уязвимость целиком, но, по данным Microsoft, речь идет о настройках в реестре системы, которые делают ее уязвимой по определению. Еще одну дыру в системе печати обнаружили в прошлом году, и тогда исследователи намекали на причину многочисленных проблем в этой службе: древний код, работающий еще с конца 90-х. Что еще произошло: Еще один краткий отчет экспертов «Лаборатории Касперского» посвящен атаке шифровальщика REvil, нацеленной на поставщиков услуг удаленного администрирования и их клиентов. По данным исследователей, к 5 июля, через 4 дня после начала атаки, было зафиксировано более 5000 попыток взлома. Команда GitHub Security провела аудит открытого ПО Fail2Ban, используемого для ограничения брутфорс-атак на серверы SSH. И не нашла каких-либо серьезных уязвимостей. Издание Ars Technica пишет об исследовании безопасности умных колонок Amazon Echo Dot. Как выяснилось, сброс устройства к заводскому состоянию (перед продажей) не полностью удаляет пользовательские данные — можно восстановить как логи от предыдущего владельца, так и пароли. Продолжение истории о самостирающихся сетевых накопителях WD My Book Live c прошлой недели. Исследователи нашли еще одну уязвимость, которую эксплуатировали злоумышленники: из-за ошибки разработчика накопитель не спрашивал пароль пользователя при вызове функции возврата к заводским настройкам (с удалением данных). Это новая, ранее неизвестная проблема с более не поддерживаемыми устройствами WD. Предположительно WD My Book атаковали две разные группы: одни использовали беспарольный сброс, другие эксплуатировали старую уязвимость 2018 года. Производитель тем временем пообещал предоставить пострадавшим бесплатный сервис по восстановлению данных. =========== Источник: habr.com =========== Похожие новости:
Блог компании «Лаборатория Касперского» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 08:23
Часовой пояс: UTC + 5