В компании Microsoft предупредили о критической уязвимости в ОС Windows, способной выполнять код через службу печати. Брешь была обнаружена в диспетчере Print Spooler. Уязвимость позволяет условному злоумышленнику запускать код удаленно, маскируясь выполнением привилегированных операций с файлами.
Возможные последствия
Исполняя этот, код хакер может получить доступ к установке и удалению определенных программ. Будет получен и доступ к некоторым файлам с возможностью их редакции или удаления. Есть и возможность создания новых учетных записей в системе с полными правами доступа.
Данная уязвимость есть во всех версиях Windows, так как Print Spooler устанавливается в системе по умолчанию. Наибольшим рискам подвержены серверные сборки, где могут быть атакованы и контроллеры домена.
В Microsoft рекомендуют установить все обновленные средства безопасности, отключив службу диспетчера печати (spoolsv.exe). В крайнем случае, если требуется данный функционал, рекомендуется приостановить функцию удаленной печати.
Доступные пароли
Еще одна уязвимость Windows из найденных недавно связана с файлом диспетчера учетных записей безопасности (SAM). Йонас Ликкегаард, специалист по IT-безопасности, заметил, что в исследуемой им версии Windows 11 был открыт для общего доступа файл с хешированными пользовательскими паролями SAM, среди которых и ключи администратора.
Ликкегаард заявил, что хакер с ограниченными привилегиями доступа теоретически может использовать критическую уязвимость и получить пароли пользователя. После этого он сможет их применять и для повышения своих полномочий, начиная с уровня локального пользователя до администратора с получением полного контроля над системой. Подобный взлом можно обеспечить в процессе обновления системы Windows.
По словам эксперты, анализ уязвимости показал, что уязвимость есть во всех распространенных версиях Windows 11 и 10.
В корпорации уже отреагировали на замеченную проблему, присвоив бреши идентификатор CVE-2021-36934. Специалисты Microsoft согласились с Ликкегаардом, что злоумышленник при желании может расширить свои права доступа. Также они подчеркнули, что подобному способу взлома подвержены все ОС компании, начиная Windows 10 редакции 1809. Ответной мерой защиты станет выпуск нового патча безопасности.
