Обзор

В этой статье будет рассмотрена информация, относящаяся к следующим уязвимостям:

Фон

В настоящее время есть два значимых CVE:

• В июне 2021 года была обнаружена уязвимость удаленного выполнения кода (RCE) в диспетчере печати Windows, которая получила код CVE-2021-1675. 
• 1 июля Microsoft выпустила уведомление об уязвимости CVE-2021-34527. Этот дефект получил название 'PrintNightmare' в средствах массовой информации. Microsoft отмечает, что этот CVE является отдельной проблемой, не связанной с ошибкой, решенной в CVE-2021-1675.

Влияние

Наиболее заметной уязвимостью, раскрытой в этом уведомлении, является CVE-2021-34527 (PrintNightmare). Это уязвимость удаленного выполнения кода, которая затрагивает диспетчер печати Windows и не требует присутствия подключенного принтера для использования.

CVE-2021-1675

Эксплуатация уязвимости CVE-2021-1675 могла бы дать удаленным злоумышленникам полный контроль над уязвимыми системами. Для достижения выполнения удаленного кода, злоумышленники должны нацелиться на пользователя, который аутентифицирован для службы диспетчера печати. Без аутентификации эта уязвимость могла бы быть использована для повышения привилегий, что делает её ценным звеном в цепочке атаки.

CVE-2021-1675 была исправлена обновлением безопасности Microsoft, выпущенным 8 июня 2021 года.

CVE-2021-34527

CVE-2021-34527, объявленная 1 июля, также является уязвимостью удаленного выполнения кода в службе диспетчера печати Windows. Успешная эксплуатация этой уязвимости позволила бы злоумышленникам выполнять произвольный код с привилегиями SYSTEM, включая установку программ, просмотр/изменение/удаление данных или создание новых учетных записей с полными правами пользователя. Однако для этого все равно требуется аутентифицированная учетная запись пользователя, как и для CVE-2021-1675.

Атака должна включать аутентифицированного пользователя, вызывающего функцию RpcAddPrinterDriverEx().

Все версии Windows потенциально уязвимы.

Решение Cato

С целью защиты наших клиентов, Cato предприняла следующие шаги:

• Глобально развернута серия сигнатур системы предотвращения вторжений (IPS) для смягчения угрозы этой уязвимости.
• Если у вас включен Cato IPS, вы защищены от этой уязвимости без необходимости ручных изменений конфигурации (или обновления базы данных сигнатур IPS) с вашей стороны. Однако мы советуем вам следовать рекомендациям поставщика для устранения уязвимости в источнике.  
• В случае обнаружения незашифрованного вредоносного трафика, который соответствует профилю сигнатуры CVE-2021-1675 или CVE-2021-34527, этот трафик будет заблокирован, и доказательства будут сгенерированы в Приложении Управления Cato в окне Обнаружение событий. 

Кроме того, в Cato мы рекомендуем всегда держать ваши системы обновленными последними обновлениями безопасности от Microsoft и мерами по устранению от поставщика. Это может помочь уменьшить любую дополнительную уязвимость, которая может возникнуть с продуктами Microsoft.